Ciberseguridad en México: Del decreto a la defensa real
La reciente publicación de la Política General de Ciberseguridad para la Administración Pública Federal (APF) por parte de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), sumada a la presentación del Plan Nacional 2025-2030, marca un hito en la historia digital de México. Por primera vez, el Estado intenta abandonar la fragmentación normativa para construir un frente común ante una realidad ineludible: México es uno de los países más ciberatacados de la región.
La importancia de esta política no es menor. Al establecer directrices obligatorias para proteger infraestructuras críticas y datos personales, se toca la fibra más sensible de la relación ciudadano-gobierno: la confianza. En un entorno donde trámites vitales —desde salud hasta impuestos— son digitales, garantizar la continuidad de los servicios públicos y la privacidad de la información no es un lujo técnico, sino una obligación de gobernabilidad.
Sobre el papel, la propuesta es robusta y ambiciosa. La adopción de estándares internacionales como el marco del NIST o las normas ISO 27001, y la incorporación de modelos como Zero Trust (que asume que ninguna red es segura por defecto y exige verificación continua) y la autenticación multifactor, sugieren que México busca alinearse con la vanguardia. La creación de figuras como el CSIRT Nacional (equipo de respuesta a incidentes) y un CSOC Federado (centro de monitoreo) emula las mejores prácticas de ecosistemas maduros como el de la Unión Europea o Estonia.
Sin embargo, hay una gran distancia entre el “qué” y el “cómo”. Si bien el diseño normativo nos acerca a estándares globales, la realidad operativa de la APF amenaza con dejarnos rezagados. El principal desafío es la implementación real frente a la burocracia. Existe el riesgo latente de que la figura del Responsable Institucional de Ciberseguridad (RIC) se convierta en un gestor de trámites para cumplir con auditorías, en lugar de ser un arquitecto de defensas activas.
Asimismo, la política enfrenta el muro de las capacidades técnicas y presupuestales. La ciberseguridad requiere una coordinación estrecha entre autoridades y una de las más importantes es la de Protección de Datos Personales hoy inmersa en una Secretaría de Estado, pero que tiene que ser tomada en cuenta de manera decisiva porque la información personal es lo más vulnerable en cualquier ataque o vulneración.
Además, se requiere una versión constante en tecnología y, sobre todo, en talento humano especializado, un recurso escaso y costoso a nivel global. Sin una asignación de recursos etiquetados y suficientes, la obligatoriedad de la norma chocará con la austeridad operativa, creando brechas de seguridad en las dependencias más pequeñas o menos tecnificadas.
Para que esta política no sea letra muerta, se requieren condiciones indispensables: voluntad política para sancionar el incumplimiento, presupuesto para modernizar la infraestructura obsoleta y una cultura de seguridad que permee desde los titulares hasta el personal operativo. La ciberseguridad no se decreta; se construye diariamente.
Esta iniciativa abre una oportunidad histórica para modernizar al Estado y proteger la soberanía de nuestros datos. Pero si la implementación falla, no solo perderemos tiempo; expondremos los derechos digitales de millones de mexicanos a un entorno cada vez más hostil. La política está lista; ahora empieza la verdadera batalla.
