México alista un ambicioso plan de ciberseguridad para 2026, aunque llega tarde

Por poner una cifra, la firma de ciberseguridad Fortinet señaló que en sólo seis meses de 2025, el país recibió 40,600 millones de intentos de ciberataques, una de las cifras más altas con respecto a los países de la región.

Alcances, vacíos y riesgos para México

En la presentación del plan, la ATDT sostuvo que la intención es transitar de una postura reactiva a una preventiva, con la creación de organismos como el Centro Nacional de Operaciones de Ciberseguridad (CNSOC) y el CSIRT para la atención de incidentes, así como mecanismos de evaluación y alerta temprana.

Pero los datos disponibles muestran un entorno altamente desafiante. El ransomware, el phishing y el robo de credenciales se mantienen como vectores recurrentes, con impactos económicos que pueden superar millones de pesos por incidente.

Datos de la empresa que dirige Ruiz indican que los intentos de ataques dirigidos al sector público federal podrían incrementarse en un 260% en los siguientes meses, con vulnerabilidades internas como factor principal.

Esto ocurre en un entorno donde la digitalización continúa acelerándose, pues más de 93% de grandes empresas y 84% de pymes en México utilizan internet cotidianamente, aumentando la superficie de riesgo, según cifras del Inegi.

“Hoy México no sufre por falta de marcos normativos en papel, sino por falta de capacidades técnicas y de ejecución”, señaló Ruiz, poniendo el foco en que las cifras de ataques y brechas de seguridad han duplicado su intensidad sin que las defensas institucionales muestren mejoras cuantificables.

Una de las críticas más señaladas es la vaguedad en la definición de roles, ya que el proyecto asigna responsabilidades a múltiples actores, desde dependencias, organismos coordinados, sector privado y academia, sin establecer mecanismos claros de coordinación ni sanciones por incumplimiento.

Otra arista fundamental es la obligatoriedad de estándares. El plan anuncia la promoción de marcos como NIST o ISO/IEC 27001 como referencias, pero no los hace vinculantes.

“Basarse en la voluntariedad equivale a confiar en que el mercado por sí solo cerrará brechas que claramente no ha podido resolver en años”, afirmó Ruiz. Sin obligatoriedad, muchas empresas seguirán operando con protocolos mínimos que no resisten amenazas modernas.

En contraste, algunos países que han logrado avances significativos en ciberseguridad combinan normas técnicas obligatorias, sistemas de certificación y auditorías independientes, y mecanismos sancionadores claros. Como es el caso de Chile.

Otra barrera es que el presupuesto destinado a seguridad digital también enfrenta críticas por no estar alineado con la escala de los riesgos. Según el Proyecto de Presupuesto de Egresos de la Federación (PPEF) 2026, la ATDT recibirá un presupuesto de 3,852 millones de pesos para el ejercicio fiscal 2026. Este monto representa un incremento real superior al 20% respecto a 2025 y es considerado el mayor presupuesto que ha tenido un regulador de telecomunicaciones en México en términos nominales, pero no es un monto de ingreso exclusivo para ciberseguridad.

En contraste, organismos como la Cybersecurity and Infrastructure Security Agency (CISA) recibió en 2025 un presupuesto superior a 3,000 millones de dólares, destinado exclusivamente a ciberseguridad e infraestructura crítica. Para 2026, la Casa Blanca propuso un incremento adicional.

Además, el gasto federal total en ciberseguridad superó los 13,000 millones de dólares anuales, con partidas específicas para detección temprana, protección de infraestructura crítica, formación de talento y cooperación con el sector privado, de acuerdo con datos de la CISA.

Finalmente, el engranaje jurídico enfrenta un obstáculo persistente para Ruiz, pues aunque existen figuras penales específicas en el Código Penal Federal, la persecución efectiva de ataques sofisticados, especialmente aquellos que involucran redes globales y infraestructura crítica, sigue siendo baja, por la falta de capacitación de jueces, agencias forenses y unidades especializadas.