Durante años,
la ciberseguridad en México fue reconocida como importante, pero tratada como
un tema secundario y sin continuidad en la agenda nacional. Por eso, la
elaboración del Plan Nacional de Ciberseguridad 2025-2030 y de la Política
General de Ciberseguridad para la Administración Pública Federal representa
un cambio relevante: el Estado asume que no hay transformación digital posible
sin seguridad.
Ambos
documentos reinsertan la ciberseguridad en la conversación pública con
diagnóstico, narrativa y una ruta general. Reconocen que el entorno actual
combina riesgos digitales y físicos: ciberdelincuencia organizada, tensiones
geopolíticas, cadenas de suministro frágiles y el uso de inteligencia
artificial para potenciar ataques.
En un
análisis sobre la pertinencia de publicar el plan y la política de
ciberseguridad, observo varias fortalezas: se reconoce un problema que
cualquiera que trabaje en seguridad (física o digital) ve a diario. No se trata
de escenarios ficticios o “de película”; el plan señala amenazas cotidianas
como ransomware, filtraciones de información, phishing cada
vez más sofisticado y fraudes con deepfakes, que afecta a empresas
e instituciones del gobierno.
Un punto
central es el enfoque de la Política General de Ciberseguridad que no lo reduce
a un asunto de tecnologías de la información. Plantea la ciberseguridad como un
habilitador de servicios públicos, derechos digitales y confianza, e incluso
como parte estructural del funcionamiento gubernamental.
Este cambio
conceptual es clave: la seguridad deja de ser un accesorio técnico para
convertirse en una condición básica del Estado digital.
Otra
fortaleza es la intención de ordenar el entramado institucional. El plan
propone que la ATDT sea el eje articulador y plantea además la creación de un
Centro de Operaciones de Seguridad Nacional y un CSIRT-APF civil.
El objetivo
es coordinar la prevención, detección y respuesta a incidentes en toda la
administración federal y evitar que las dependencias enfrenten
vulneraciones de forma aislada o, peor aún, que oculten incidentes por temor,
desconocimiento o burocracia.
El documento
también pone en la mesa cifras incómodas: incidentes en sectores públicos y
privados, crecimiento del ransomware en México y filtraciones
conocidas. Reconocerlo es necesario e introduce un factor clave: la superficie
de ataque ha crecido porque México es hoy un país mucho más conectado.
Según la
ENDUTIH 2024, 73.6 % de los hogares y 83.1% de las personas tienen acceso a
internet. Cada nuevo trámite digital es también una nueva puerta que debe
protegerse.
La formación
de capacidades, colaboración con iniciativa privada, participación en foros
internacionales y la creación de mecanismos de monitoreo, atención, respuesta y
recuperación de incidentes son parte central del plan y de la política de
ciberseguridad.
Sin embargo,
el verdadero desafío recién empieza. México no necesita otro documento que
termine archivado; necesita resultados medibles, presupuestos asignados,
responsables con autoridad real y consecuencias ante el incumplimiento.
La Política
General propone un marco obligatorio para la administración pública con ejes
estratégicos sólidos: gobernanza, gestión de riesgos, protección de
infraestructura crítica, respuesta a incidentes, identidad digital y Zero
Trust, cadena de suministro, talento y cultura, y mejora continua.
Por otro
lado, hay tareas aún pendientes: la publicación de un marco regulatorio
específico, la actualización o creación de una estrategia nacional de
ciberseguridad y el desarrollo sistemático de simulacros y ejercicios que son
parte esencial de la ejecución.
La política
pública debe ser práctica: segmentar redes, monitorear, levantar inventarios,
definir planes de recuperación, realizar ejercicios y financiar una
modernización mínima con metas por etapas y mecanismos de aseguramiento.
Para avanzar
hacia un entorno más seguro se requieren decisiones concretas. Primero,
transparencia: un reporte centralizado de incidentes en toda la administración
gubernamental, con categorías, tiempos de atención y lecciones aprendidas,
además de una versión pública agregada que permita evaluar si el país mejora.
La opacidad solo beneficia al atacante.
Segundo, un
modelo de cumplimiento real, con auditorías técnicas, certificaciones, esquemas
de madurez comparables entre dependencias y consecuencias graduales, que vayan
desde acompañamiento correctivo hasta restricciones en despliegues digitales
cuando no se cumplan controles básicos.
Tercero,
compras públicas con requisitos de seguridad exigibles. La cadena de suministro
es un riesgo estructural; los contratos deben incluir estándares mínimos,
derecho de auditoría, listas de componentes tecnológicos (SBOM) cuando aplique
y penalizaciones por negligencia. Elegir solo por precio suele salir mucho más
caro tras un incidente.
Cuarto,
cerrar la brecha de talento, que no se resuelve con un curso anual, se
requieren rutas de carrera, salarios competitivos, certificaciones financiadas,
rotación entre equipos y una comunidad técnica interinstitucional que comparta
prácticas y herramientas. Sin personas capacitadas, la política se queda sin
capacidad operativa.
Finalmente,
una cohesión multisectorial real para que la industria, academia y sociedad
civil no sean solo actores decorativos. Deben participar desde el diseño hasta
la implementación, mediante mesas técnicas, ejercicios conjuntos, intercambio
de inteligencia y trabajo coordinado en estándares.
En síntesis,
el Plan Nacional de Ciberseguridad 2025-2030 y la Política General de
Ciberseguridad son una señal política positiva y un avance respecto al vacío de
años anteriores. El éxito se medirá en la capacidad de contener incidentes,
reducir tiempos de recuperación, disminuir la deuda técnica y coordinar
respuestas cuando algo falle. La ciberseguridad volvió a la agenda; ahora la
historia se define en la ejecución.
*
Presidente de la Asociación de Internet Mexicana e integrante de organismos en
cuestión de ciberseguridad, también es editor ISO/IEC 27001 a nivel mundial y
consejero en temas de riesgos y protección de datos
Fuente de la Información
https://www.cronica.com.mx/opinion/2026/01/21/la-ciberseguridad-vuelve-a-la-agenda-publica-en-mexico-el-reto-es-la-ejecucion/
