Durante años, la ciberseguridad en México fue reconocida como importante, pero tratada como un tema secundario y sin continuidad en la agenda nacional. Por eso, la elaboración del Plan Nacional de Ciberseguridad 2025-2030 y de la Política General de Ciberseguridad para la Administración Pública Federal representa un cambio relevante: el Estado asume que no hay transformación digital posible sin seguridad.
Ambos documentos reinsertan la ciberseguridad en la conversación pública con diagnóstico, narrativa y una ruta general. Reconocen que el entorno actual combina riesgos digitales y físicos: ciberdelincuencia organizada, tensiones geopolíticas, cadenas de suministro frágiles y el uso de inteligencia artificial para potenciar ataques.
En un análisis sobre la pertinencia de publicar el plan y la política de ciberseguridad, observo varias fortalezas: se reconoce un problema que cualquiera que trabaje en seguridad (física o digital) ve a diario. No se trata de escenarios ficticios o “de película”; el plan señala amenazas cotidianas como ransomware, filtraciones de información, phishing cada vez más sofisticado y fraudes con deepfakes, que afecta a empresas e instituciones del gobierno.
Un punto central es el enfoque de la Política General de Ciberseguridad que no lo reduce a un asunto de tecnologías de la información. Plantea la ciberseguridad como un habilitador de servicios públicos, derechos digitales y confianza, e incluso como parte estructural del funcionamiento gubernamental.
Este cambio conceptual es clave: la seguridad deja de ser un accesorio técnico para convertirse en una condición básica del Estado digital.
Otra fortaleza es la intención de ordenar el entramado institucional. El plan propone que la ATDT sea el eje articulador y plantea además la creación de un Centro de Operaciones de Seguridad Nacional y un CSIRT-APF civil.
El objetivo es coordinar la prevención, detección y respuesta a incidentes en toda la administración federal y evitar que las dependencias enfrenten vulneraciones de forma aislada o, peor aún, que oculten incidentes por temor, desconocimiento o burocracia.
El documento también pone en la mesa cifras incómodas: incidentes en sectores públicos y privados, crecimiento del ransomware en México y filtraciones conocidas. Reconocerlo es necesario e introduce un factor clave: la superficie de ataque ha crecido porque México es hoy un país mucho más conectado.
Según la ENDUTIH 2024, 73.6 % de los hogares y 83.1% de las personas tienen acceso a internet. Cada nuevo trámite digital es también una nueva puerta que debe protegerse.
La formación de capacidades, colaboración con iniciativa privada, participación en foros internacionales y la creación de mecanismos de monitoreo, atención, respuesta y recuperación de incidentes son parte central del plan y de la política de ciberseguridad.
Sin embargo, el verdadero desafío recién empieza. México no necesita otro documento que termine archivado; necesita resultados medibles, presupuestos asignados, responsables con autoridad real y consecuencias ante el incumplimiento.
La Política General propone un marco obligatorio para la administración pública con ejes estratégicos sólidos: gobernanza, gestión de riesgos, protección de infraestructura crítica, respuesta a incidentes, identidad digital y Zero Trust, cadena de suministro, talento y cultura, y mejora continua.
Por otro lado, hay tareas aún pendientes: la publicación de un marco regulatorio específico, la actualización o creación de una estrategia nacional de ciberseguridad y el desarrollo sistemático de simulacros y ejercicios que son parte esencial de la ejecución.
La política pública debe ser práctica: segmentar redes, monitorear, levantar inventarios, definir planes de recuperación, realizar ejercicios y financiar una modernización mínima con metas por etapas y mecanismos de aseguramiento.
Para avanzar hacia un entorno más seguro se requieren decisiones concretas. Primero, transparencia: un reporte centralizado de incidentes en toda la administración gubernamental, con categorías, tiempos de atención y lecciones aprendidas, además de una versión pública agregada que permita evaluar si el país mejora. La opacidad solo beneficia al atacante.
Segundo, un modelo de cumplimiento real, con auditorías técnicas, certificaciones, esquemas de madurez comparables entre dependencias y consecuencias graduales, que vayan desde acompañamiento correctivo hasta restricciones en despliegues digitales cuando no se cumplan controles básicos.
Tercero, compras públicas con requisitos de seguridad exigibles. La cadena de suministro es un riesgo estructural; los contratos deben incluir estándares mínimos, derecho de auditoría, listas de componentes tecnológicos (SBOM) cuando aplique y penalizaciones por negligencia. Elegir solo por precio suele salir mucho más caro tras un incidente.
Cuarto, cerrar la brecha de talento, que no se resuelve con un curso anual, se requieren rutas de carrera, salarios competitivos, certificaciones financiadas, rotación entre equipos y una comunidad técnica interinstitucional que comparta prácticas y herramientas. Sin personas capacitadas, la política se queda sin capacidad operativa.
Finalmente, una cohesión multisectorial real para que la industria, academia y sociedad civil no sean solo actores decorativos. Deben participar desde el diseño hasta la implementación, mediante mesas técnicas, ejercicios conjuntos, intercambio de inteligencia y trabajo coordinado en estándares.
En síntesis, el Plan Nacional de Ciberseguridad 2025-2030 y la Política General de Ciberseguridad son una señal política positiva y un avance respecto al vacío de años anteriores. El éxito se medirá en la capacidad de contener incidentes, reducir tiempos de recuperación, disminuir la deuda técnica y coordinar respuestas cuando algo falle. La ciberseguridad volvió a la agenda; ahora la historia se define en la ejecución.
* Presidente de la Asociación de Internet Mexicana e integrante de organismos en cuestión de ciberseguridad, también es editor ISO/IEC 27001 a nivel mundial y consejero en temas de riesgos y protección de datos