El gobierno
federal creó un Acuerdo Marco para contratar un firewall y un NAC, con el que
estandariza la compra del perímetro de ciberseguridad en la APF y evita que
cada dependencia defina reglas y especificaciones desde cero.
El gobierno
mexicano decidió estandarizar, en un solo instrumento, la contratación de dos
piezas que sostienen la seguridad de entrada en la red de la administración
pública federal (AFP), un cortafuegos (firewall) y un control de acceso
a la red NAC (Network Access Control).
El vehículo
de esta contratación es el “Acuerdo Marco para el Arrendamiento de
Equipo de Seguridad Firewall y NAC”, un documento que no adjudica una
compra única, sino que define un proceso para que cada dependencia y entidad
contrate bajo las mismas reglas técnicas y administrativas, usando la
plataforma Compras MX.
El acuerdo
fue suscrito por la Secretaría Anticorrupción y Buen Gobierno (SABG)
y la Secretaría de Hacienda y Crédito Público (SHCP), con colaboración técnica
de la Agencia de Transformación Digital y
Telecomunicaciones (ATDT).
La intención
es construir un carril de contratación para que, cuando una institución
necesite reforzar su perímetro de red, no vuelva a empezar de cero con
estudios, especificaciones y bases; sino que entre al acuerdo y haga un
contrato específico con reglas ya definidas.
El documento
explica que la ATDT remitió a la SHCP el Anexo Técnico para investigación de
mercado el 5 de septiembre de 2025, y que el 11 de noviembre de 2025 se envió
el resultado de esa investigación, a partir del cual se determinó la
conveniencia de implementar un nuevo acuerdo marco. En paralelo, se emitió un
Aviso de Intención (mencionado con fecha 15 de octubre de 2025) y se publicó en
Compras MX la documentación con requisitos técnicos, legales y administrativos
para quienes quisieran participar.
La fase de
armado se cierra con un paso que en la práctica es el filtro técnico. El
acuerdo consigna que la ATDT verificó que los posibles proveedores cumplieran
los requisitos difundidos en la plataforma mediante un oficio fechado el 29 de
diciembre de 2025.
Este paso
separa dos momentos. Primero se habilita un universo de proveedores que
cumplen requisitos y después, cada dependencia compite precios entre
ese universo cuando lance su contratación específica.
Vigencia y
alcance
El acuerdo
fija una vigencia hasta el 31 de diciembre de 2028. Aclara que los contratos
específicos, es decir, los que sí generan obligaciones de entrega, pagos y
garantías, podrán celebrarse a partir del 1 de enero de 2026, pero sin rebasar
el plazo del acuerdo marco.
También
establece un criterio de alcance que lo vuelve “transversal” cuando hay dinero
federal. Si se celebran contratos con gobiernos estatales o municipales con
recursos federales, deberán sujetarse a las especificaciones y condiciones del
acuerdo, incluyendo los precios máximos definidos. Esta cláusula extiende el
estándar más allá de la APF cuando hay participación del presupuesto federal.
¿Cómo se
contrata?
Primero,
cuando una dependencia requiere el arrendamiento de firewall y NAC, debe
invitar a todos los posibles proveedores habilitados en el acuerdo marco (o en
convenios modificatorios).
La invitación
debe contener las especificaciones del arrendamiento (cantidad y descripción
conforme al anexo), las condiciones de entrega con domicilios, y condiciones
suficientes para que el proveedor cotice con claridad.
El documento
también obliga a incorporar en la invitación las reglas que normalmente definen
el riesgo contractual, como las condiciones de pago, garantías de cumplimiento
y penalizaciones. Además, impone un mínimo de tiempo para responder. El plazo
para presentar la oferta técnica y económica no puede ser menor a tres días
hábiles, y debe fijarse desde el inicio la fecha y hora para la etapa de Oferta
Subsecuente de Descuento.
Etapa de
descuento
El
procedimiento está diseñado para que la primera oferta no sea el cierre. Los
proveedores entregan, firmadas electrónicamente, sus propuestas técnica y
económica; los montos deben expresarse sin IVA y en moneda nacional.
Antes de
pasar al tramo final, la dependencia debe verificar que los oferentes no estén
impedidos por supuestos previstos en la LAASSP; si detecta impedimentos, debe
abstenerse de seleccionarlos y notificar a la SHCP para que valore medidas como
rescisión o terminación anticipada.
Solo quienes
cumplen requisitos legales y técnicos pasan a la etapa de descuento. Y ahí se
define el ganador: la asignación se notifica al proveedor que ofrezca el precio
más bajo como resultado de la Oferta Subsecuente de Descuento; después, la
dependencia debe publicar el acta del procedimiento en Compras MX.
Formalización
del contrato
Una vez
asignado, el contrato específico se formaliza en el Módulo de Formalización de
Instrumentos Jurídicos de Compras MX mediante Firma Electrónica
Avanzada. Antes de firmar, la dependencia debe verificar el cumplimiento
fiscal y de seguridad social del proveedor, incluyendo lo relativo al artículo
32-D del CFF.
El acuerdo
también carga en cada dependencia la responsabilidad completa del expediente y
la administración del contrato, es decir, que debe integrar el procedimiento,
ejecutar, supervisar y asegurar las mejores condiciones para el Estado en
precio, calidad y oportunidad.
Supervisión
y rescisión
El documento
prevé que la SHCP pueda verificar en cualquier momento si el acuerdo sigue
ofreciendo las mejores condiciones, y que la SHCP y/o la ATDT pueden requerir
información a proveedores y a dependencias con contratos específicos para
comprobar cumplimiento y mantenimiento de requisitos.
Si hay
incumplimientos atribuibles al proveedor, el acuerdo describe un procedimiento
de rescisión con tiempos: notificación, cinco días hábiles para que el
proveedor exponga lo que convenga y presente pruebas, y una decisión de la SHCP
en hasta 10 días hábiles, con aviso posterior a la ATDT para que el proveedor
no sea considerado en futuras asignaciones.
El acuerdo
marco convierte la compra de perímetro de ciberseguridad del gobierno federal
en una política de contratación, es decir que construye un universo de
proveedores verificados; obliga a una competencia por descuento en cada evento
de compra; estandariza la formalización y los controles, y deja una ruta de
supervisión y rescisión.
Fuente de la Información
https://www.eleconomista.com.mx/tecnologia/gobierno-sheinbaum-fija-reglas-comprar-perimetro-ciberseguridad-20260112-794886.html
