Ayer 4 de diciembre de 2025, el Gobierno de México presentó el Plan Nacional de Ciberseguridad 2025–2030, elaborado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) y su Dirección General de Ciberseguridad (DGCiber), con apoyo técnico del Banco Interamericano de Desarrollo (BID)
El documento llega en un momento clave: México se ha convertido en uno de los países más atacados de América Latina y, paradójicamente, uno de los menos preparados normativamente para enfrentar la acelerada sofisticación del crimen digital.
El plan reconoce que el país arrastra un retraso regulatorio de años. Desde 2017 no existía una estrategia nacional actualizada y el gobierno federal operaba con marcos parciales, fragmentados y dependientes de criterios internos de cada dependencia. Mientras tanto, el cibercrimen avanzó sin obstáculos: entre 2022 y 2025 se registraron 16 ciberataques críticos al sector público y privado, incluyendo intrusiones en SEDENA, SICT, CONAGUA, así como filtraciones en DGETI y ataques a corporativos como Bimbo, Coppel y Foxconn. Estos ahora reconocidos en este documento pero no en su momento por la autoridad.
La cifra más alarmante del documento es contundente: México ocupa el segundo lugar en víctimas publicadas en foros de ransomware, con 155 organizaciones comprometidas entre 2019 y 2025, solo superado por Brasil. El grupo criminal LockBit, uno de los más agresivos a nivel global, concentra el 25% de los ataques registrados en territorio nacional
Un país que corre detrás del problema
El Plan Nacional perfila un diagnóstico crudo: México enfrenta una brecha de talento “severa”, una fragmentación regulatoria histórica, deficiente cooperación interinstitucional y una cultura de ciberseguridad insuficiente incluso en niveles directivos. La realidad es que muchas dependencias federales carecen de controles mínimos, operan con software no actualizado y mantienen prácticas de seguridad obsoletas.
La evidencia es clara: al menos 750 vulnerabilidades fueron detectadas solo en 2025 dentro de instituciones federales, y la ATDT reporta la eliminación de 25 portales fraudulentos que suplantaban servicios gubernamentales ese mismo año
Son acciones reactivas, útiles, pero que muestran la magnitud del rezago acumulado.
Además, el documento admite que buena parte del andamiaje institucional depende de sistemas de respuesta que hoy operan con capacidades limitadas. El CERT-MX, responsable nacional, continúa adscrito a la Secretaría de la Defensa Nacional; una decisión que restringe la transparencia y dificulta la colaboración con la academia, la iniciativa privada y organismos internacionales.
Vacíos que el Plan no logra resolver
Aunque el documento es ambicioso y técnicamente sólido, presenta omisiones que comprometen su viabilidad:
1. No hay una Ley Nacional de Ciberseguridad
El plan reconoce la necesidad de armonizar normas y procesos, pero no propone un marco legal integral ni una ruta legislativa clara. México sigue operando con tipificaciones parciales en el Código Penal y regulaciones dispersas que dejan amplios vacíos para perseguir ciberdelitos.
2. No se establece un presupuesto federal
La estrategia plantea 6 años de proyectos complejos —CSOC nacional, CSIRT civil, academia de ciberseguridad, Cyber Range, IA para ciberdefensa— pero no detalla cuánto costarán ni cómo se financiarán.
eSin presupuesto etiquetado, la política pública depende de decisiones anuales y voluntad política, no de un compromiso estructural.
3. La brecha de talento sigue sin atenderse estructuralmente
El documento señala la escasez de profesionales, pero propone solo programas de capacitación internos.
México tiene un déficit sistémico que requiere políticas educativas, incentivos fiscales, cooperación con universidades y atracción de talento internacional. Nada de eso aparece en la estrategia.
4. El país digitaliza sin asegurar
El propio Plan advierte que el acelerado crecimiento del IoT (Internet de las cosas por sus siglas en inglés), el comercio electrónico y los servicios digitales gubernamentales incrementaron la superficie de ataque.
Sin embargo, el gobierno sigue impulsando trámites digitales mientras carece de mecanismos de certificación obligatoria para las dependencias.
5. Ausencia de estándares de cumplimiento con consecuencias
El plan establece lineamientos, pero no establece qué ocurre si una dependencia federal no los adopta.
No hay sanciones, auditorías obligatorias ni mecanismos de rendición de cuentas públicos.
Un avance necesario, pero insuficiente
En la parte técnica, el Plan presenta una hoja de ruta sólida: identificación de infraestructuras críticas, integración de una red de CSIRTs nacionales, implementación de IA para ciberdefensa, creación de un Cyber Range en 2027 y un sistema de certificación en 2030. El documento reconoce también la urgencia de blindar el país frente al Mundial 2026, considerado un evento de riesgo extraordinario para México en materia de ciberseguridad.
Además, México aparece en el Tier 2 – Avanzado del Global Cybersecurity Index 2024, con altas puntuaciones en capacidades técnicas y legales, pero con baja cooperación internacional y deficiencias organizacionales que todavía requieren corrección
La contradicción es evidente: México tiene el potencial, pero no el andamiaje institucional completo para ejecutar una estrategia de largo plazo.
Política digital en tiempos de crisis
Desde una perspectiva política, el Plan Nacional demuestra algo inusual en la administración pública mexicana: un diagnóstico honesto y autocrítico. Pero también deja ver que el país llega tarde a un desafío que ya generó daños significativos a instituciones, empresas y ciudadanía.
La creación de la ATDT y la DGCiber representa un avance institucional, pero el documento no explica cómo se garantizará su continuidad en un entorno político cambiante ni cómo se evitará que los proyectos queden desmantelados en futuros ciclos sexenales.
La conclusión es inevitable:
México ya no enfrenta un problema de amenazas, sino un problema de capacidad estatal para responder a ellas.
Conclusión
El Plan Nacional de Ciberseguridad 2025–2030 es un paso importante, pero no es la solución definitiva. Su valor está en reconocer la profundidad del rezago y presentar una ruta hacia la profesionalización del aparato estatal. Sin embargo, sin presupuesto, sin un marco jurídico integral, sin incentivos para cerrar la brecha de talento y sin mecanismos de cumplimiento, el riesgo es claro: la estrategia puede quedarse en el papel.
México necesita no solo planes, sino estructuras sólidas y permanentes para enfrentar un cibercrimen que ya opera con recursos, talento y coordinación internacional. El reloj corre, y los atacantes no esperan a que la administración pública madure.
También participaron representantes de organizaciones e instituciones aliadas que respaldan esta iniciativa: Volker Esteves, del Comité Interamericano Contra el Terrorismo de la Organización de los Estados Americanos (OEA); José Luis Solleiro, del Instituto de Ciencias Aplicadas y Tecnología de la Universidad Nacional Autónoma de México; Eleazar Aguirre, del Centro de Investigación en Computación del Instituto Politécnico Nacional; Claudia Escoto, de la Alianza México Ciberseguro; y Agustín Tiburcio, del Consejo Nacional de la Industria Maquiladora y Manufacturera de Exportación.
