México lanza su Plan Nacional de Ciberseguridad, pero llega tarde y con vacíos estratégicos
El 4 de diciembre de 2025, el Gobierno de México presentó el Plan Nacional de Ciberseguridad 2025–2030, elaborado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) y la Dirección General de Ciberseguridad (DGCiber), con apoyo del Banco Interamericano de Desarrollo (BID).
El documento llega en un momento crítico: México se ha convertido en uno de los países más atacados de América Latina y, al mismo tiempo, uno de los menos preparados normativamente para enfrentar la sofisticación del cibercrimen.
Entre 2022 y 2025 se registraron 16 ciberataques críticos al sector público y privado, incluyendo intrusiones en SEDENA, SICT, CONAGUA y empresas como Bimbo, Coppel y Foxconn.
El propio documento reconoce que México ocupa el segundo lugar en víctimas publicadas en foros de ransomware, con 155 organizaciones comprometidas entre 2019 y 2025.
Un país que corre detrás del problema
El plan identifica una brecha severa de talento, fragmentación regulatoria, cooperación institucional deficiente y una cultura de ciberseguridad limitada incluso en niveles directivos.
Solo en 2025 se detectaron 750 vulnerabilidades en instituciones federales y se eliminaron 25 portales fraudulentos que suplantaban servicios gubernamentales.
Vacíos que el Plan no logra resolver
1. Ausencia de una Ley Nacional de Ciberseguridad
El documento reconoce la necesidad de armonizar normas, pero no propone un marco legal integral ni una ruta legislativa clara.
2. Falta de presupuesto federal etiquetado
Aunque plantea proyectos ambiciosos, no define costos ni fuentes de financiamiento, dejando la política pública sujeta a decisiones anuales.
3. Brecha de talento sin solución estructural
La estrategia se limita a capacitación interna, sin políticas educativas, incentivos fiscales o atracción de talento internacional.
4. Digitalización sin aseguramiento
El crecimiento del IoT y los trámites digitales amplía la superficie de ataque, sin mecanismos obligatorios de certificación para dependencias.
5. Sin sanciones ni rendición de cuentas
No existen consecuencias claras para las dependencias que no adopten los lineamientos de ciberseguridad.
Un avance necesario, pero insuficiente
El plan presenta una hoja de ruta técnica sólida, reconoce riesgos como el Mundial 2026 y posiciona a México en el Tier 2 del Global Cybersecurity Index, pero carece del andamiaje institucional para garantizar su ejecución.
Conclusión
El Plan Nacional de Ciberseguridad 2025–2030 es un paso importante, pero corre el riesgo de quedarse en el papel si no se acompaña de presupuesto, marco legal, cierre de brecha de talento y mecanismos de cumplimiento.
