La intención de tener una Ley General de
Ciberseguridad por parte de la Agencia de Transformación Digital y
Telecomunicaciones se percibe como un movimiento urgente y positivo, pero
tardío
Tras las fiestas decembrinas, los proyectos que los
organismos federales plantearon a finales de 2025 se perfilan a materializarse,
entre ellos está el primer Plan Nacional de Ciberseguridad y la intención de
presentar una Ley General de Ciberseguridad, impulsados por la Agencia de
Transformación Digital y Telecomunicaciones (ATDT). Iniciativas que buscan
consolidar la defensa ante la creciente ola de amenazas digitales.
La apuesta es recibida como un avance necesario. Sin
embargo, algunos especialistas señalan que aún falta más empuje en la
infraestructura de estos proyectos. Víctor Ruiz, fundador de Silikn y
especialista en ciberseguridad, señaló que el borrador legislativo padece
vacíos conceptuales y estructurales que podrían limitar seriamente su impacto
real, precisamente cuando el país se enfrenta a una de las peores oleadas de
ataques cibernéticos en su historia reciente.
Por poner una cifra, la firma de ciberseguridad Fortinet
señaló que en sólo seis meses de 2025, el país recibió 40,600 millones de
intentos de ciberataques, una de las cifras más altas con respecto a los países
de la región.
Alcances, vacíos y riesgos para México
En la presentación del plan, la ATDT sostuvo que la
intención es transitar de una postura reactiva a una preventiva, con la
creación de organismos como el Centro Nacional de Operaciones de Ciberseguridad
(CNSOC) y el CSIRT para la atención de incidentes, así como mecanismos de
evaluación y alerta temprana.
Pero los datos disponibles muestran un entorno altamente
desafiante. El ransomware, el phishing y el robo de credenciales se mantienen
como vectores recurrentes, con impactos económicos que pueden superar millones
de pesos por incidente.
Datos de la empresa que dirige Ruiz indican que los intentos
de ataques dirigidos al sector público federal podrían incrementarse en un 260%
en los siguientes meses, con vulnerabilidades internas como factor principal.
Esto ocurre en un entorno donde la digitalización continúa
acelerándose, pues más de 93% de grandes empresas y 84% de pymes en México
utilizan internet cotidianamente, aumentando la superficie de riesgo, según
cifras del Inegi.
“Hoy México no sufre por falta de marcos normativos en
papel, sino por falta de capacidades técnicas y de ejecución”, señaló Ruiz,
poniendo el foco en que las cifras de ataques y brechas de seguridad han
duplicado su intensidad sin que las defensas institucionales muestren mejoras
cuantificables.
Una de las críticas más señaladas es la vaguedad en la
definición de roles, ya que el proyecto asigna responsabilidades a múltiples
actores, desde dependencias, organismos coordinados, sector privado y academia,
sin establecer mecanismos claros de coordinación ni sanciones por
incumplimiento.
Otra arista fundamental es la obligatoriedad de estándares.
El plan anuncia la promoción de marcos como NIST o ISO/IEC 27001 como
referencias, pero no los hace vinculantes.
“Basarse en la voluntariedad equivale a confiar en que el
mercado por sí solo cerrará brechas que claramente no ha podido resolver en
años”, afirmó Ruiz. Sin obligatoriedad, muchas empresas seguirán operando con
protocolos mínimos que no resisten amenazas modernas.
En contraste, algunos países que han logrado avances
significativos en ciberseguridad combinan normas técnicas obligatorias,
sistemas de certificación y auditorías independientes, y mecanismos
sancionadores claros. Como es el caso de Chile.
Otra barrera es que el presupuesto destinado a seguridad
digital también enfrenta críticas por no estar alineado con la escala de los
riesgos. Según el Proyecto de Presupuesto de Egresos de la Federación (PPEF)
2026, la ATDT recibirá un presupuesto de 3,852 millones de pesos para el
ejercicio fiscal 2026. Este monto representa un incremento real superior al 20%
respecto a 2025 y es considerado el mayor presupuesto que ha tenido un
regulador de telecomunicaciones en México en términos nominales, pero no es un
monto de ingreso exclusivo para ciberseguridad.
En contraste, organismos como la Cybersecurity and
Infrastructure Security Agency (CISA) recibió en 2025 un presupuesto superior a
3,000 millones de dólares, destinado exclusivamente a ciberseguridad e
infraestructura crítica. Para 2026, la Casa Blanca propuso un incremento
adicional.
Además, el gasto federal total en ciberseguridad superó los
13,000 millones de dólares anuales, con partidas específicas para detección
temprana, protección de infraestructura crítica, formación de talento y
cooperación con el sector privado, de acuerdo con datos de la CISA.
Finalmente, el engranaje jurídico enfrenta un obstáculo
persistente para Ruiz, pues aunque existen figuras penales específicas en el
Código Penal Federal, la persecución efectiva de ataques sofisticados,
especialmente aquellos que involucran redes globales y infraestructura crítica,
sigue siendo baja, por la falta de capacitación de jueces, agencias forenses y
unidades especializadas.
Fuente de la Información
https://invdes.com.mx/politica-cyt-i/mexico-alista-un-ambicioso-plan-de-ciberseguridad-para-2026-aunque-llega-tarde/
