Gustavo Parra Noriega

La promesa de la era digital era la democratización de la información; sin embargo, nos ha puesto también ante una de las amenazas más insidiosas para la libertad: el espionaje descontrolado.
Bajo la narrativa del combate al terrorismo y al crimen organizado, herramientas de ciberespionaje de &#8220;grado militar&#8221; —cuyo ejemplo en México ha sido el sistema Pegasus— han mutado en instrumentos de persecución política. El problema no es solo la sofisticación de la tecnología, sino la asimetría de poder y la absoluta falta de rendición de cuentas de quienes la operan.
Este mercado opaco ha normalizado la intrusión total en la intimidad. Cuando un software puede convertir un teléfono en un micrófono abierto las 24 horas, la noción de vida privada desaparece. El impacto es devastador para la democracia: se destruye la confidencialidad de las fuentes periodísticas, se vulnera el secreto profesional de la abogacía y se inhibe la participación ciudadana.
&#8220;La privacidad no es un atributo de la inocencia, sino el cimiento indispensable de la libertad frente al poder&#8221;. Sin ella, el periodismo de investigación muere y el derecho a una defensa justa se vuelve una quimera.
México ha sido un laboratorio para estas tecnologías, y el riesgo se vuelve crítico en contextos locales como el del Estado de México, donde la labor de periodistas, activistas y defensores de víctimas es fundamental para la transparencia y la justicia, el uso de spyware sin controles judiciales estrictos no solo intimida, sino que silencia. Es imperativo proteger a los funcionarios de buena fe y a los litigantes locales de estas herramientas que, en manos equivocadas, se convierten en armas de chantaje y control político.
Por ello, es urgente que la comunidad internacional, los diplomáticos y los organismos de derechos humanos exijan una moratoria global a la venta y transferencia de estas tecnologías. No podemos permitir que el negocio del robo de información siga operando en las sombras. Esta moratoria debe mantenerse hasta que existan controles estrictos de exportación, auditorías independientes y garantías de reparación para las víctimas.
Las empresas tecnológicas deben priorizar la seguridad del usuario por encima de cualquier concesión estatal, y los sistemas judiciales deben evolucionar para que ninguna intervención ocurra fuera de una supervisión efectiva y transparente. Es momento de que los gobiernos demuestren que su prioridad es la seguridad ciudadana y no la vigilancia del disenso. Si no establecemos límites ahora, el vigilante seguirá operando en la impunidad, y la democracia será la principal víctima de su mirada invisible.
&nbsp;

¿Quién vigila al vigilante? El mercado descontrolado del spyware

Imaginemos a un adolescente que, al buscar su nombre en Google antes de su primera entrevista de trabajo, descubre cientos de fotos de sus berrinches a los tres años, detalles de su entrenamiento para dejar el pañal o videos de sus llantos grabados por sus padres para ganar likes. Lo que para una familia es un recuerdo tierno o contenido para su audiencia, para ese joven es una huella digital impuesta que nunca consintió.
El fenómeno del &#8220;sharenting&#8221; —la práctica de documentar la vida de los hijos en redes sociales— ha transformado la infancia en un espectáculo público. Ya no hablamos solo de &#8220;influencers&#8221; que monetizan la privacidad de sus hijos; hablamos de una normalización social en la que el niño deja de ser un sujeto de derechos para convertirse en contenido.
Existe un conflicto jurídico y ético latente bajo cada publicación. Por un lado, los padres apelan a su libertad de expresión y al derecho a gestionar la imagen familiar. Por otro, emerge el interés superior del menor, un principio que obliga a proteger su privacidad y su integridad por encima de cualquier deseo de exposición de los adultos.
La huella que creamos hoy tiene consecuencias reales mañana. Al publicar de forma masiva, exponemos a los menores a riesgos tangibles:
<ul>
<li>Robo de identidad y fraudes: Datos que hoy parecen inofensivos pueden alimentar perfiles falsos en el futuro.</li>
<li>Acoso y grooming: Los depredadores digitales utilizan la información compartida (colegios, parques, rutinas) para acercarse a sus víctimas.</li>
<li>Uso imprevisto de la imagen: Una foto familiar hoy puede terminar, mediante inteligencia artificial, en foros de explotación o contextos humillantes años después.</li>
</ul>
Europa ya está marcando el camino. Francia, por ejemplo, ha legislado para que los padres compartan la autoridad sobre la imagen del menor, permitiendo que incluso la justicia intervenga si la publicación perjudica la dignidad del niño. Es un recordatorio necesario: los hijos no son una extensión de la propiedad privada de sus padres, sino individuos con derecho a decidir sobre su propia identidad.
No se trata de prohibir el uso de la tecnología, sino de ejercer una responsabilidad informada. Antes de publicar, pregúntese:
<ol>
<li>¿Es necesario? Si la respuesta es &#8220;para que lo vean mis amigos&#8221;, use canales privados y cifrados.</li>
<li>La prueba del tiempo: ¿Se sentiría usted cómodo si esa imagen suya estuviera disponible para todo el mundo dentro de quince años?</li>
</ol>
Necesitamos que las familias protejan el &#8220;derecho al olvido&#8221; antes de que la memoria digital sea imborrable. A los legisladores, les pedimos marcos que prioricen la protección de datos infantiles frente a la economía de la atención. Protejamos la intimidad de quienes aún no pueden defenderla; el mayor regalo que podemos dar a nuestros hijos es el control sobre su propia historia.

Sharenting: el niño como contenido y la huella digital impuesta

En la última década, nuestra vida se ha mudado casi por completo al entorno digital. Sin embargo, mientras la tecnología avanzaba a pasos agigantados, nuestro marco legal en materia de protección de datos personales permaneció congelado en 2010, cuando por ejemplo, Facebook todavía no existía.
Recientemente se han iniciado una serie de diálogos para actualizar este marco normativo. La iniciativa liderada por la secretaria de Anticorrupción y Buen Gobierno, Raquel Buenrostro, surge de una necesidad crítica en la que podríamos discutir su análisis: por ejemplo, que al actual marco normativo le hace falta un desarrollo de los principios y deberes, que carece de esquemas de prevención y, que su régimen sancionatorio no es lo suficientemente eficaz ni disuasorio, pero en lo que no hay discusión, es que es necesaria su actualización como modelo normativo y que es necesario esté a la altura de los principales estándares internacionales.
Incluso, se podría transitar hacia una sola ley sin distinción de sector público o privado, que retome la vanguardia, brindando certeza jurídica a través de la innovación y la responsabilidad compartida, pero si no hay condiciones, entonces una ley hacia los particulares, que se anticipe a los desafíos modernos. Entre los puntos clave que considero se deberían tomar en cuenta, figuran los siguientes:
<ul>
<li>Es imperativo mejorar la defensa de los derechos digitales y fortalecer la colaboración entre los sectores, para evitar los ciberdelitos como la violencia digital o la suplantación de identidad.</li>
<li>Fortalecer a la autoridad de control, como una autoridad especializada, lo más autónoma posible y con atribuciones robustas de supervisión, promoción y sanción, entre otros aspectos.</li>
<li>Se propone incorporar nuevas figuras y conceptos como la aplicación extraterritorial de la ley, el principio de legitimación, la limitación del tratamiento, el derecho a no ser objeto de decisiones individuales automatizadas, así como la incorporación de las evaluaciones de impacto, como figuras preventivas, para el sector privado.</li>
<li>La regulación debe incluir la incorporación de los neuroderechos de los datos biométricos como sensibles, regular la inteligencia artificial para asegurar la transparencia algorítmica y evitar los sesgos o la discriminación, y en general que las nuevas tecnologías no vulneren los derechos humanos.</li>
<li>En cuanto a las observaciones del Consejo Consultivo del Convenio 108, nos han señalado la necesidad de quitar la excepción de las Sociedades de Información Crediticia en la Ley y derogar lo correspondiente en la ley sectorial.</li>
<li>Con respecto al periodismo, la Ley no hace referencia a ninguna excepción del alcance de la aplicación de los requisitos que restringen la aplicación de ciertas disposiciones para el tratamiento llevado a cabo por la prensa, toda vez que esta situación supondría una limitación al ejercicio de la libertad de expresión.</li>
<li>La necesidad de insertar reglas específicas con relación al tratamiento de datos personales de salud y otros sectores.</li>
<li>Incorporar en la ley de sector privado la obligación a cargo de los responsables, de notificar a la autoridad de control cuando ocurra una vulneración de seguridad, esto con la finalidad de que los titulares estén mejor protegidos, e iniciar las investigaciones correspondientes.</li>
<li>Empoderar al ciudadano mediante el derecho a la portabilidad, permitiendo que cada persona pueda trasladar su información entre plataformas de forma sencilla y sin obstáculos.</li>
<li>La incorporación de principios como la privacidad desde el diseño y por defecto —que obliga a pensar en la protección de datos desde la creación de cualquier producto o servicio— nos permitiría contar con un ecosistema digital seguro, ético y competitivo.</li>
</ul>
Para que México se posicione en la vanguardia, es esencial alinearse con los estándares internacionales más avanzados, como el Convenio 108+ Plus y su correlación con regulaciones de avanzada como la Ley de Inteligencia Artificial europea. 
Estamos ante una oportunidad histórica para dotar a México de una legislación que no solo proteja nuestra información, sino que impulse un crecimiento económico moderno, basado no en sancionar más eficientemente a los particulares, sino en fortalecer una cultura donde los responsables del tratamiento de datos asuman un papel con el rigor que exige la confianza depositada por las personas, y que los titulares ejerzamos a plenitud nuestro derecho y denunciemos los indebidos tratamientos.
&nbsp;

Hacia una Nueva Ley de Privacidad: El Despertar Digital de México

Imagina que despiertas una mañana y descubres que la ayuda social que te respalda en el pago de tu alquiler ha sido cancelada. Al acudir a la ventanilla, la respuesta del funcionario es kafkiana: “El sistema lo decidió”. No sabe decirte por qué. No hay un humano a quien culpar, solo un porcentaje de riesgo calculado por una máquina.
Este escenario no es ciencia ficción; es la realidad creciente de la administración pública moderna. Hoy, gobiernos de todo el mundo están adoptando sistemas de Inteligencia Artificial (IA) bajo la bandera de la “eficiencia” y la austeridad. Se utilizan para asignar subsidios, detectar fraudes fiscales e incluso para realizar perfilamiento policial predictivo. Sin embargo, bajo la seductora narrativa de la “neutralidad tecnológica”, estamos automatizando la injusticia y creando una caja negra administrativa que amenaza nuestros derechos fundamentales.
El problema central no es que el gobierno use tecnología, qué bueno que avance el gobierno digital, sino cómo la usa. Muchos de estos sistemas operan como “cajas negras”: algoritmos opacos cuyos procesos de toma de decisiones son ininteligibles incluso para quienes los programaron.
Cuando una IA decide que una persona es un “falso beneficiario” o un “perfil criminal de riesgo”, no lo hace basándose en la causalidad legal, sino en correlaciones estadísticas. Si el algoritmo fue entrenado con datos históricos sesgados —por ejemplo, si históricamente se ha vigilado más a barrios marginados—, el sistema aprenderá que “vivir en el código postal X” equivale a “ser un riesgo”. Esto es discriminación automatizada. La máquina no es neutral; simplemente blanquea prejuicios humanos bajo una capa de falsa objetividad matemática.
Esta opacidad dinamita el debido proceso. El uso de IA opaca viola directamente el derecho de acceso a la información y a una buena administración, incluso pone en riesgo la privacidad. Un ciudadano no es una fila en una base de datos. Si una decisión pública afecta tu vida, tienes el derecho inalienable a saber por qué (explicabilidad) y a impugnar esa decisión ante una persona (revisión humana).
Nos encontramos en un punto de inflexión. Es imperativo legislar los marcos de transparencia algorítmica. Todo sistema utilizado para asignar recursos o vigilar ciudadanos debe someterse a auditorías independientes y a evaluaciones de impacto en protección de datos antes de encenderse. 
Prohibir el uso de cajas negras en servicios sociales y justicia penal es necesario. La eficiencia no puede estar por encima de los derechos humanos, esto a efecto de exigir, por un lado, el código fuente y los criterios de entrenamiento de los algoritmos y, por otro, una explicación humana. 
La regla de oro debe ser clara: si no es explicable, no es utilizable. Además, la supervisión humana debe ser significativa, no simbólica. El funcionario debe tener la facultad real y el conocimiento técnico para contradecir a la máquina, evitando el sesgo de automatización. La tecnología debe servir para hacer la administración más humana, no para esconder la burocracia detrás de un muro de código impenetrable.
&nbsp;

El algoritmo burócrata: Cuando la IA juega a decidir por la autoridad

La guerra moderna ha dejado de ser un evento exclusivamente cinético, para convertirse en un fenómeno multidimensional donde el primer disparo, a menudo silencioso, se ejecuta en el ciberespacio. La reciente &#8220;Operación Absolute Resolve&#8221; en Venezuela no solo reconfiguró el tablero político regional, sino que evidenció, con crudeza quirúrgica, cómo el dominio del espectro digital es el preludio indispensable para cualquier éxito militar en el terreno. Este caso debe servir como una alerta urgente para el Estado mexicano y su arquitectura de seguridad nacional.
Las naciones más aventajadas tecnológicamente, están utilizando el ciberespacio como campo de batalla, denominándolo la “quinta dimensión” de la guerra. Lo ocurrido en Venezuela ilustra el avance de esta dimensión híbrida. Antes de que los Delta Force tocaran suelo o que los drones aseguraran la superioridad aérea, se libró una batalla invisible sustentada en inteligencia estratégica de alto nivel. La combinación de fuentes humanas, intercepción de señales y monitoreo en tiempo real permitió una coreografía perfecta. Sin embargo, el factor determinante fue la capacidad de paralizar al adversario desde sus entrañas digitales. El uso de malware avanzado, con características similares a Stuxnet, dirigido específicamente a sistemas SCADA, logró comprometer la red eléctrica y provocar apagones estratégicos que cegaron al régimen venezolano en momentos críticos.
Aunado a esto, la neutralización de las defensas aéreas, otrora consideradas impenetrables por sus baterías S-300, no se logró únicamente con misiles, sino mediante una sofisticada campaña de ciberoperaciones y guerra electrónica. El “jamming” (interferencia intencionada de señales) ejecutado por aviones EA-18G Growler, sincronizado con ataques lógicos a los radares, dejó los cielos abiertos para la inserción sigilosa y la posterior extracción del objetivo. La lección es clara: la fuerza cinética —soldados, aviones y municiones— es inoperante si se pierde el control de la infraestructura tecnológica que la sustenta.
Al voltear la mirada hacia México, el contraste entre estas capacidades ofensivas globales y nuestra realidad defensiva genera una preocupación legítima. Si bien la creación de la Agencia de Transformación Digital y Telecomunicaciones, junto con la emisión de la Política General de Ciberseguridad para la Administración Pública Federal, el Plan Nacional de Ciberseguridad 2025–2030 y todos ellos debidamente coordinados con el Programa para la Seguridad Nacional 2024 &#8211; 2030, que es el documento rector de la política de seguridad nacional del Estado mexicano, es decir un instrumento que adopta una aproximación multidimensional en la materia, congruente con la visión del Ejecutivo federal, pueden ser pasos en la dirección correcta. El papel no blinda servidores.
La normativa es el cimiento, pero la operatividad es el muro. México enfrenta el riesgo latente de que sus infraestructuras críticas —energía, salud, finanzas y telecomunicaciones— sean vulneradas no solo por cibercriminales, sino por actores estatales que comprenden que desestabilizar la información, almacenaje, comunicación y controles que se efectúan en el ciberespacio, es más efectivo que una invasión fronteriza y, que esto impacta la infraestructura crítica nacional y su afectación se traduce en riesgos y amenazas a la seguridad nacional: finanzas, información y comunicación política y tecnológica, controles automatizados (SCADA) de CFE, PEMEX, tráfico aéreo y marítimo, entre otros.
La fragilidad de los sistemas gubernamentales y la interconexión de las redes nacionales exigen transitar urgentemente del discurso político a la implementación técnica y estratégica. Si no fortalecemos la coordinación interinstitucional, eliminando los silos de información entre las fuerzas armadas y las agencias civiles, quedaremos expuestos ante amenazas que evolucionan más rápido que nuestra burocracia. La protección de datos personales y la integridad de los sistemas de seguridad no son un lujo técnico, son los pilares de la gobernabilidad.
Es imperativo que México asuma la ciberdefensa, es decir un conjunto de acciones, recursos y mecanismos del Estado en materia de seguridad nacional para prevenir, identificar y neutralizar toda ciberarma o ciberataque que afecte la infraestructura crítica nacional, como un asunto de máxima seguridad nacional y soberanía. 
Esto implica una inversión sin precedentes en actualización tecnológica, el fortalecimiento de los cibercomandos de las fuerzas armadas y, sobre todo, en el capital humano capaz de operar en este nuevo teatro de operaciones. Ignorar que la defensa del territorio comienza hoy en los servidores y no en las fronteras físicas, es condenar al Estado a la obsolescencia y a la vulnerabilidad perpetua frente a quienes ya dominan el arte de la guerra digital.
&nbsp;

Soberanía en jaque: la lección invisible de la ciberguerra

La reciente publicación de la Política General de Ciberseguridad para la Administración Pública Federal (APF) por parte de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), sumada a la presentación del Plan Nacional 2025-2030, marca un hito en la historia digital de México. Por primera vez, el Estado intenta abandonar la fragmentación normativa para construir un frente común ante una realidad ineludible: México es uno de los países más ciberatacados de la región.
La importancia de esta política no es menor. Al establecer directrices obligatorias para proteger infraestructuras críticas y datos personales, se toca la fibra más sensible de la relación ciudadano-gobierno: la confianza. En un entorno donde trámites vitales —desde salud hasta impuestos— son digitales, garantizar la continuidad de los servicios públicos y la privacidad de la información no es un lujo técnico, sino una obligación de gobernabilidad.
Sobre el papel, la propuesta es robusta y ambiciosa. La adopción de estándares internacionales como el marco del NIST o las normas ISO 27001, y la incorporación de modelos como Zero Trust (que asume que ninguna red es segura por defecto y exige verificación continua) y la autenticación multifactor, sugieren que México busca alinearse con la vanguardia. La creación de figuras como el CSIRT Nacional (equipo de respuesta a incidentes) y un CSOC Federado (centro de monitoreo) emula las mejores prácticas de ecosistemas maduros como el de la Unión Europea o Estonia.
Sin embargo, hay una gran distancia entre el &#8220;qué&#8221; y el &#8220;cómo&#8221;. Si bien el diseño normativo nos acerca a estándares globales, la realidad operativa de la APF amenaza con dejarnos rezagados. El principal desafío es la implementación real frente a la burocracia. Existe el riesgo latente de que la figura del Responsable Institucional de Ciberseguridad (RIC) se convierta en un gestor de trámites para cumplir con auditorías, en lugar de ser un arquitecto de defensas activas.
Asimismo, la política enfrenta el muro de las capacidades técnicas y presupuestales. La ciberseguridad requiere una coordinación estrecha entre autoridades y una de las más importantes es la de Protección de Datos Personales hoy inmersa en una Secretaría de Estado, pero que tiene que ser tomada en cuenta de manera decisiva porque la información personal es lo más vulnerable en cualquier ataque o vulneración.
Además, se requiere una versión constante en tecnología y, sobre todo, en talento humano especializado, un recurso escaso y costoso a nivel global. Sin una asignación de recursos etiquetados y suficientes, la obligatoriedad de la norma chocará con la austeridad operativa, creando brechas de seguridad en las dependencias más pequeñas o menos tecnificadas.
Para que esta política no sea letra muerta, se requieren condiciones indispensables: voluntad política para sancionar el incumplimiento, presupuesto para modernizar la infraestructura obsoleta y una cultura de seguridad que permee desde los titulares hasta el personal operativo. La ciberseguridad no se decreta; se construye diariamente.
Esta iniciativa abre una oportunidad histórica para modernizar al Estado y proteger la soberanía de nuestros datos. Pero si la implementación falla, no solo perderemos tiempo; expondremos los derechos digitales de millones de mexicanos a un entorno cada vez más hostil. La política está lista; ahora empieza la verdadera batalla.
&nbsp;

Ciberseguridad en México: Del decreto a la defensa real

La corrupción prospera en la oscuridad de los archivos físicos, en la ambigüedad de los trámites presenciales y en la discrecionalidad de la &#8220;ventanilla&#8221;. En el marco de la Semana Anticorrupción del Estado de México, celebrada del 9 al 12 de diciembre de este año, surge una reflexión impostergable para la agenda pública estatal: ¿Es la transformación digital el antídoto definitivo contra la impunidad? La respuesta es prometedora, pero requiere una mirada crítica.
La digitalización del gobierno no debe entenderse simplemente como el acto de escanear documentos, o poner en línea trámites, sino como un rediseño de procesos orientado a la transparencia y a la trazabilidad. Herramientas como la interoperabilidad entre dependencias, el Big Data para la detección de patrones de fraude y la tecnología blockchain en las contrataciones públicas, permitirían algo que el papel jamás podrá ofrecer: Una huella imborrable. Al reducir la interacción humana innecesaria en trámites y servicios, se disminuyen drásticamente las oportunidades para el soborno y la extorsión.
Este cambio tiene un impacto directo en los costos sociales y económicos. La corrupción funciona como un impuesto regresivo que encarece la vida y desvía recursos vitales de salud, educación e infraestructura. La transparencia tecnológica, al hacer eficiente el gasto y visible el flujo del dinero, no solo recupera activos financieros, sino el activo más valioso de una democracia: La confianza ciudadana.
Sin embargo, las discusiones impulsadas durante la reciente semana anticorrupción del Estado de México nos hacen ver lo importante de no caer en el &#8220;solucionismo tecnológico&#8221;. La tecnología es una herramienta, no una varita mágica. Si digitalizamos procesos viciados sin reformarlos, solo obtendremos corrupción automatizada a mayor velocidad.
Existen riesgos latentes que debemos mitigar. Primero, la brecha digital: Si la fiscalización y los servicios son solo digitales, podemos excluir a los sectores más vulnerables, llámense adultos mayores o pueblos originarios, entre otros, y violar su derecho a vigilar y participar. Segundo, la opacidad algorítmica: No podemos permitir que decisiones públicas se tomen mediante &#8220;cajas negras&#8221; o algoritmos sesgados que nadie puede auditar o transparentar. Y tercero, la captura tecnológica, donde el Estado toma el control de la vida de sus ciudadanos con el riesgo de la vigilancia masiva, o pierde soberanía sobre sus propios datos al depender excesivamente de proveedores privados sin estándares abiertos.
La transparencia tecnológica implica abrir el código y los datos en formatos reutilizables, no solo publicar PDFs escaneados, por eso, el llamado a las autoridades, al sector privado y a la ciudadanía es contundente: La innovación debe ir acompañada de voluntad política y ética.
No basta con adquirir softwares costosos; se requiere construir ecosistemas digitales inclusivos y auditables. Usemos la tecnología para encender la luz en los rincones más oscuros de la administración pública, recordando siempre que las herramientas digitales son el medio, pero la dignidad humana en orden al bien común, sigue siendo el fin.

La tecnología como faro: luces y sombras en la lucha anticorrupción

El 30 de noviembre, el calendario marcó el Día Mundial de la Ciberseguridad. La fecha, que debería servir para evaluar avances y fortalecer defensas, en nuestro contexto actual se siente más como un recordatorio incómodo de nuestras carencias. La conmemoración llega en un momento crítico: las recientes y recurrentes filtraciones de información sensible en instituciones gubernamentales han dejado de ser incidentes técnicos aislados para convertirse en una crisis de seguridad nacional.
La realidad es ineludible: el Estado mexicano está bajo asedio digital y nuestras murallas son de papel.
La vulneración de sistemas públicos no es solo un problema de TI; es una erosión directa de la soberanía. En el siglo XXI, la soberanía ya no reside únicamente en el territorio físico o en el espacio aéreo, sino en la capacidad de una nación para controlar, resguardar y gestionar sus propios datos. Cuando una entidad gubernamental es hackeada y la información de millones de ciudadanos —desde datos fiscales hasta expedientes de salud o seguridad— termina subastada en foros clandestinos, el Estado falla en su mandato más básico: la protección de su gente.
¿Por qué seguimos siendo tan vulnerables? Porque hemos tratado la ciberseguridad como un lujo administrativo o un gasto postergable, en lugar de verla como el cimiento de la gobernabilidad moderna. La transformación digital sin seguridad no es progreso, es negligencia.
La recurrencia de estos incidentes demuestra que los &#8220;parches&#8221; actuales son insuficientes. Los memorándums internos y las buenas intenciones no detienen el “ransomware”. Es urgente dejar de reaccionar y empezar a gobernar el ciberespacio mexicano.
Para lograrlo, necesitamos una “Estrategia Nacional de Ciberseguridad” que sea, ante todo, vinculante. No necesitamos más guías de recomendaciones opcionales. Requerimos un marco legal robusto que obligue a todas las entidades públicas —federales, estatales y municipales— a cumplir con estándares internacionales de protección de la información.
Esta estrategia debe sostenerse sobre dos pilares que hoy brillan por su ausencia: presupuesto y responsabilidad. Primero, la ciberseguridad cuesta. Pretender blindar al Estado con &#8220;austeridad&#8221; es dejar la puerta abierta a los criminales. Se requiere inversión etiquetada específicamente para infraestructura defensiva, monitoreo continuo y, crucialmente, para la capacitación y retención de talento especializado. Segundo, debe haber consecuencias. La cadena de mando debe tener responsabilidades claras. Si una dependencia no actualiza sus sistemas o ignora protocolos básicos, debe existir una rendición de cuentas administrativa y legal.
La confianza en el gobierno se construye con resultados, pero se mantiene con certeza. Si el ciudadano no puede confiar en que el Estado guardará sus secretos, la legitimidad institucional se desmorona. O tomamos el control de nuestra información hoy, o aceptamos ser rehenes digitales más pronto que tarde.

Ciberataques al Estado: la soberanía de datos no es opcional

Un error humano en una oficina administrativa es un contratiempo; un error similar en el sistema de un hospital es una sentencia. Durante años, hemos cometido el error estratégico de tratar la ciberseguridad como un asunto exclusivamente &#8220;técnico&#8221;, relegado a los sótanos de los departamentos de IT. Es hora de despertar: la negligencia digital ya tiene consecuencias cinéticas y potencialmente letales. El riesgo real hoy ya no es perder archivos; es perder vidas.
La profesionalización del crimen organizado ha transformado el panorama de amenazas. Grupos delictivos operan con estructuras corporativas, atacando infraestructuras críticas porque saben que el Estado y las empresas no pueden permitirse el lujo de detenerse. Cuando un “ransomware” bloquea un hospital, no solo se cifran datos; se detienen cirugías, se pierden historiales clínicos vitales para tratamientos oncológicos y se desvían ambulancias. Un retraso de minutos en el acceso a la información de un paciente puede ser la diferencia entre la supervivencia y el deceso.
Lo mismo ocurre con los servicios esenciales. Una intrusión en una planta de tratamiento de agua para alterar los niveles de químicos, o un ataque a la red eléctrica en pleno invierno, no son guiones de ciencia ficción, son ataques a la salud pública y a la estabilidad social. La frontera entre el mundo digital y el mundo físico ha desaparecido; un código malicioso es hoy un arma tan efectiva como un sabotaje industrial.
El problema es de gobernanza. Persiste una cultura de riesgo deficiente, alimentada por presupuestos insuficientes, una deuda tecnológica acumulada y una tercerización sin supervisión. Los tomadores de decisión —CEOS, directores de salud y funcionarios públicos— deben entender que la ciberseguridad es una inversión en continuidad de vida, no un gasto operativo.
Para revertir esta vulnerabilidad, la alta dirección debe adoptar medidas inmediatas:
<ol>
<li>Inversión mínima obligatoria en ciberresiliencia, auditada externamente.</li>
<li>Segmentación estricta de redes, para aislar sistemas críticos de la red administrativa.</li>
<li>Planes de respuesta a incidentes que incluyan simulacros de crisis, similares a los de protección civil.</li>
<li>Coordinación público-privada para compartir inteligencia de amenazas en tiempo real.</li>
<li>Cultura de higiene digital profunda, donde cada empleado entienda su rol como guardián de la seguridad nacional.</li>
</ol>
La ciberseguridad no debe medirse por el número de ataques bloqueados, sino por la garantía de que los servicios vitales sigan funcionando bajo fuego. Ignorar esta realidad es una irresponsabilidad institucional que no podemos permitirnos. Proteger nuestros sistemas es, en última instancia, proteger la vida humana.

Ciberseguridad crítica: Cuando un click puede matar