El Plan Nacional de Ciberseguridad, presentado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) en diciembre de 2025, traza una ruta estratégica para el periodo 2025–2030, reconociendo la urgencia de fortalecer la postura digital del Estado mexicano en un contexto marcado por el avance de la inteligencia artificial, la computación cuántica y la expansión masiva de dispositivos conectados. La estrategia busca establecer una hoja de ruta nacional para la protección de infraestructuras críticas, servicios esenciales y datos públicos, con el objetivo de posicionar a México como un referente regional en materia de ciberseguridad.
El documento reconoce brechas importantes, en particular, el bajo gasto per cápita en ciberseguridad en comparación con países desarrollados y la creciente sofisticación de los ataques, lo que ya ha colocado al país entre los más afectados de América Latina. De acuerdo con el propio Plan, México registró 16 incidentes críticos confirmados entre 2022 y 2025 en sectores gubernamentales, financieros, industriales y educativos, además de 155 víctimas de ataque de ransomware entre 2019 y 2025, ubicándose como el segundo país más afectado de la región. Estas cifras reflejan la presión creciente sobre las capacidades institucionales del país.
Una de las debilidades más importantes del Plan es el tratamiento limitado de la protección de infraestructuras críticas y de tecnologías operativas (OT), incluidas las basadas en sistemas SCADA. Aunque el documento incorpora la identificación de infraestructuras críticas como proyecto para 2026, carece de marcos técnicos específicos para la protección de los sistemas de control industrial. Esta omisión resulta preocupante dada la relocalización de industrias estratégicas hacia México, impulsada por las políticas arancelarias de Estados Unidos, lo que incrementa los riesgos para sectores como energía, telecomunicaciones, agua, transporte o manufactura avanzada. Modelos como el marco de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos o la Directiva de Ciberseguridad (NIS2) de la Unión Europea podrían servir de referencia para establecer requisitos mínimos de protección, certificaciones obligatorias y esquemas de supervisión técnica.
El documento también aborda de manera insuficiente la gestión de riesgos en la cadena de suministro, a pesar de que vulnerabilidades globales como SolarWinds y Log4j demostraron cómo las fallas en software o en proveedores externos pueden afectar a gobiernos, empresas y servicios esenciales en México. Aunque el Plan menciona las interdependencias como un desafío global, no desarrolla medidas concretas para evaluar riesgos de terceros, implementar listas de materiales de software (SBOM) o exigir controles mínimos a proveedores tecnológicos.
Aunque el Plan contempla la creación del Centro Nacional de Operaciones en Ciberseguridad (CSOC) y del CSIRT Nacional para la Administración Pública Federal (CSIRT-APF), la descripción de las capacidades operativas sigue siendo general. El documento no detalla procedimientos de escalamiento, taxonomías de incidentes, protocolos de coordinación ni métricas para medir el tiempo de respuesta, elementos indispensables para garantizar la eficacia en emergencias cibernéticas.
La intersección entre la ciberseguridad y la privacidad es otro punto débil. Aunque México cuenta con leyes de protección de datos, el Plan no incorpora principios de privacidad desde el diseño, la notificación obligatoria de brechas ni la coordinación operativa entre las autoridades de protección de datos y de ciberseguridad. En regiones como la Unión Europea, el Reglamento General de Protección de Datos (GDPR) obliga a adoptar modelos de gestión de incidentes centrados en los derechos de los titulares, algo que el Plan mexicano aún no integra de manera explícita.
Asimismo, el enfoque en las pequeñas y medianas empresas (PYMES) resulta limitado, pese a que representan la mayoría del tejido económico nacional y son parte esencial de las cadenas de suministro globales. Países como Australia o Singapur han desarrollado marcos de control mínimo, subsidios de evaluación y programas nacionales de concientización, especialmente dirigidos a PYMES. México debería adoptar esquemas similares para evitar que las exigencias de seguridad internacional se conviertan en barreras económicas que perpetúen las desigualdades.
Un vacío particularmente grave es la ausencia de medidas para proteger los procesos electorales y la infraestructura cívica, o para mitigar las campañas de desinformación y los deepfakes. La incorporación de este tipo de medidas es especialmente relevante en un contexto global en el que la interferencia digital ha comprometido los procesos democráticos. El Plan menciona la coordinación para la Copa Mundial de 2026, pero no incorpora un enfoque comparable para la protección continua de la democracia mexicana.
Para fortalecerse, las autoridades gubernamentales deberían incorporar un análisis comparativo más sistemático y establecer métricas cuantitativas de riesgo, así como mecanismos de seguimiento y esquemas de retroalimentación continua. La colaboración público-privada también requiere profundizar mediante plataformas formales de intercambio de información, incentivos fiscales para la inversión en ciberseguridad y la participación estructurada del sector privado en los ejercicios nacionales.
La publicación del Plan Nacional de Ciberseguridad representa un paso positivo al reconocer la urgencia de proteger los activos digitales del país. No obstante, su efectividad dependerá de abordar estas brechas críticas, fortalecer su marco operativo y adaptar continuamente la estrategia a un entorno de amenazas evolutivas en el que México enfrenta ataques diarios, que van desde fraudes a individuos hasta intrusiones sofisticadas contra entidades privadas y agencias gubernamentales.
No obstante, el simple hecho de que el documento carece de un esquema claro de sostenibilidad financiera que incluya estimaciones de costos, proyecciones multianuales y modelos de financiamiento que trasciendan los ciclos políticos, es una muy mala señal si la pregunta se centra en la longevidad, el mejoramiento y la sustentabilidad de una estrategia nacional de ciberseguridad.
Cortesía de El Economista
Dejanos un comentario: