Por primera vez, el Estado reconoce de manera explícita que
el ciberespacio se ha convertido en un dominio estratégico donde convergen
riesgos criminales, económicos, políticos y geopolíticos
La publicación del Plan Nacional de Ciberseguridad
2025–2030 representa un punto de inflexión para la seguridad nacional
de México. Por primera vez, el Estado reconoce de manera explícita que el
ciberespacio se ha convertido en un dominio estratégico donde convergen riesgos
criminales, económicos, políticos y geopolíticos. En un entorno internacional
marcado por la competencia tecnológica, la fragmentación digital y el uso del
ciberespacio como instrumento de poder, este reconocimiento llega tarde, pero
resulta indispensable.
El propio diagnóstico del Plan es contundente: México se
encuentra entre los países más atacados de América Latina. De acuerdo con
reportes internacionales de empresas de ciberseguridad y organismos
multilaterales, la región concentra cerca del 25% de los ataques de
ransomware a nivel mundial, en donde usualmente México suele ocupar
los primeros lugares en incidentes reportados contra instituciones públicas,
sector financiero, telecomunicaciones y servicios críticos. Esta realidad no
solo refleja la creciente sofisticación de los grupos criminales, sino también
una superficie de ataque ampliada por la digitalización
acelerada del Estado sin una madurez equivalente en seguridad.
En este contexto, la propuesta de crear un Centro
Nacional de Operaciones en Ciberseguridad (CSOC), una Red Nacional de
CSIRTs, un sistema de alertas críticas para la Administración Pública
Federal y el uso de inteligencia artificial para
ciberdefensa, constituye una hoja de ruta ambiciosa y, en términos
conceptuales, alineada con las mejores prácticas internacionales. Países como
Estonia, Israel o Reino Unido han demostrado que la centralización de
capacidades, la respuesta coordinada y la automatización son elementos clave
para reducir tiempos de detección y contención.
Uno de los mayores aciertos del Plan es su visión
integral, la cual no sé limita a la dimensión tecnológica, sino que
incorpora gobernanza, talento, cooperación internacional, gestión de riesgos e
innovación. Lo anterior se agradece, ya que una región donde muchas estrategias
de ciberseguridad siguen siendo documentos declarativos, la inclusión de instrumentos
técnicos concretos -como protocolos de notificación, esquemas de
escalamiento y mediciones de madurez institucional- refleja un entendimiento
más profundo del problema.
Sin embargo, el reto no es menor: la distancia entre el
diseño estratégico y la implementación operativa puede ser abismal. El primer
obstáculo estructural es la brecha de talento. América Latina
enfrenta un déficit estimado de más de 700 mil profesionales en
ciberseguridad, y México no es la excepción. Aunque el Plan reconoce
esta carencia y propone certificaciones y programas educativos, la experiencia
internacional muestra que, sin esquemas de formación acelerada,
salarios competitivos y mecanismos de retención en el sector público, los
esfuerzos tienden a diluirse frente a la capacidad de atracción del sector
privado y del mercado internacional.
Un segundo punto crítico es la fragmentación
normativa. La intención de establecer un Marco General de
Ciberseguridad para la APF y mecanismos de supervisión desde la DGCiber es
correcta, pero insuficiente, si no se acompaña de obligaciones claras,
sanciones efectivas y auditorías periódicas con respaldo presupuestal.
La ciberseguridad no puede depender únicamente de
lineamientos administrativos; requiere un enfoque regulatorio que genere
incentivos reales para el cumplimiento.
En este sentido, la ausencia de una definición contundente
de responsabilidades y consecuencias para el sector público y
privado ante incidentes que afecten servicios esenciales es una
debilidad relevante. La experiencia comparada es clara: en Estados Unidos,
Reino Unido o la Unión Europea, la notificación obligatoria de incidentes,
acompañada de sanciones por incumplimiento y requisitos mínimos de seguridad,
ha elevado los estándares de protección. En América Latina, por el contrario,
la laxitud normativa ha convertido a muchas empresas e instituciones en
eslabones débiles de la seguridad nacional.
En este contexto, el reconocimiento del Marco de
Gestión de Seguridad de la Información (MGSI), como obligación
institucional, es un avance, pero su eficacia dependerá de su implementación
real de sus ambiciosos objetivos. Sin auditorías técnicas, métricas comparables
y rutas claras de remediación, el MGSI corre el riesgo de convertirse en un
ejercicio meramente documental y anecdótico.
Ahora bien, desde una perspectiva geoestratégica, uno de los
elementos más relevantes del Plan es la cooperación internacional y la
diplomacia cibernética. El ciberespacio no reconoce fronteras y ningún
Estado puede protegerse en solitario. México tiene la oportunidad de asumir
un liderazgo regional mediante el intercambio de inteligencia,
ejercicios conjuntos, estándares compartidos y una participación recurrente en
la definición de normas internacionales. En un contexto donde potencias
globales utilizan el ciberespacio como herramienta de presión y
desestabilización, la cooperación regional es una forma de disuasión colectiva
que ayuda a proteger las operaciones locales.
Finalmente, el factor decisivo para que todo esto pueda
concretarse será la estabilidad financiera. Proyectos como el CSOC, el Cyber
Range Nacional o la ciberdefensa basada en inteligencia artificial requieren
inversiones constantes, no esfuerzos sexenales. Sin una planeación
presupuestaria multianual, el riesgo de capacidades incompletas o
infrautilizadas es alto. La propuesta de certificaciones y sellos de
cumplimiento puede generar incentivos, pero no sustituye la inversión pública
sostenida necesaria que se requiere para poner a México a la vanguardia. Una
alternativa para solucionar este enorme reto sería establecer la obligación del
Estado mexicano en este rubro desde un rango constitucional.
Por todo ello, el Plan Nacional de Ciberseguridad es, en
suma, un primer paso necesario e indispensable. Su diagnóstico
es acertado y su ambición es pertinente. No obstante, transformar la
ciberseguridad en un verdadero pilar de la seguridad nacional que
exigirá pasar del enfoque reactivo a uno preventivo y disuasivo, donde el
talento, la regulación efectiva, la cooperación internacional y los recursos
estables, converjan en una arquitectura de resiliencia.
Si estas piezas se integran de manera coherente, México
podrá transitar de una posición de vulnerabilidad estructural hacia una postura
de confianza y soberanía digital. De lo contrario, el país
seguirá siendo un territorio fértil para el crimen cibernético y un eslabón
débil en la seguridad regional. La decisión, como siempre en materia de
seguridad nacional, no es técnica: es política y estratégica y debería ser una
prioridad en cualquier agenda de gobierno en nuestro país sin importar el
partido en el poder.
Fuente de la Información
https://heraldodemexico.com.mx/opinion/2025/12/26/la-ciberseguridad-como-asunto-de-seguridad-nacional-754950.html
