Los datos se filtran, los sistemas quedan vulnerables y los ciudadanos —otra vez— somos los que pagamos el precio del silencio.
Porque en este país, mientras las dependencias federales compiten por ocultar sus errores digitales, los ciberdelincuentes colaboran entre sí con precisión quirúrgica.
🧩 La cultura del silencio digital
México vive atrapado en una peligrosa costumbre: ocultar los ciberataques.
Las instituciones temen el escándalo político, los funcionarios temen perder el cargo y las empresas temen perder clientes.
El resultado es un ecosistema donde nadie aprende de los errores porque nadie los admite.
Cada ataque negado es una lección desperdiciada y una oportunidad perdida para fortalecer al país.
Y mientras tanto, los criminales perfeccionan sus métodos, sabiendo que aquí nadie va a hablar de lo que realmente pasó.
¿Quién debería hacerlo?
Ahí está el problema.
-
La Secretaría de Gobernación (SEGOB) calla.
-
La Secretaría de la Función Pública (SFP) apenas roza el tema en sus auditorías.
-
La Secretaría de Seguridad y Protección Ciudadana (SSPC) presume “estrategias digitales”, pero sin métricas ni resultados públicos.
-
Y la Guardia Nacional, a través de su Dirección Científica, sigue sin un protocolo nacional de respuesta coordinada.
Antes, la rendición de cuentas recaía también en el INAI, el Instituto Nacional de Transparencia.
Pero tras su desaparición en diciembre de 2024, ya no existe ningún organismo autónomo que supervise el manejo de datos personales ni exija transparencia digital a las instituciones.
En otras palabras: el zorro cuida el gallinero.
🧾 ¿Y la ley de ciberseguridad? No existe (aunque debería)
México no cuenta con una Ley Federal de Ciberseguridad integral.
Lo que hay son parches dispersos: artículos del Código Penal Federal, fragmentos de la Ley de Protección de Datos Personales, lineamientos financieros y circulares de la CNBV.
Cada institución interpreta sus obligaciones como puede —o como quiere—.
Mientras tanto, países con sistemas jurídicos más sólidos entendieron que el cibercrimen se combate con leyes claras, no con discursos.
🌍 Otros países entendieron la lección (nosotros no)
🇺🇸 Estados Unidos: la transparencia como política pública
Tras los ataques de SolarWinds (2020) y Colonial Pipeline (2021), el gobierno de EE.UU. no los escondió: los convirtió en política nacional.
Desde entonces, todas las agencias federales y contratistas están obligados por ley a reportar cualquier ciberincidente en menos de 72 horas a la CISA (Cybersecurity and Infrastructure Security Agency).
El error de uno sirve para proteger a todos.
🇬🇧 Reino Unido: los informes son públicos
El National Cyber Security Centre (NCSC) británico publica reportes técnicos completos sobre ataques relevantes.
El objetivo no es exhibir, sino educar al ecosistema.
Así, empresas y organismos aprenden de los errores de otros antes de sufrir el mismo ataque.
En México, publicar algo así sería casi considerado “filtración de información clasificada”.
🇪🇪 Estonia: de víctima a potencia digital
En 2007, un ataque masivo paralizó Estonia.
El país no lo ocultó: lo estudió, lo documentó y lo convirtió en una estrategia nacional.
Hoy alberga el Centro de Excelencia en Ciberdefensa Cooperativa de la OTAN y es modelo mundial en resiliencia digital.
Su filosofía es simple: “El silencio no nos protege, la colaboración sí.”
🇯🇵 Japón: transparencia obligatoria
En Japón, las instituciones públicas y empresas privadas deben reportar cualquier intrusión o intento de hackeo a la Policía Nacional.
No hacerlo puede generar sanciones.
Gracias a eso, el país tiene una base nacional de inteligencia cibernética que anticipa ataques antes de que ocurran.
En México, seguimos esperando que alguien avise… después de que todo arde.
🧱 Quién debe actuar (y no lo hace)
En teoría:
-
La Guardia Nacional debería liderar la respuesta nacional ante ciberataques.
-
La SSPC debería coordinar la red de alerta temprana.
-
La SFP debería auditar la gestión tecnológica de cada dependencia.
-
La SEGOB debería garantizar la continuidad institucional.
-
Y el Congreso debería aprobar, ya, una Ley Federal de Ciberseguridad que obligue a reportar, registrar y compartir los incidentes.
En la práctica, cada quien se lava las manos y reza por no ser tendencia en X.
El gobierno federal no necesita un comunicado más: necesita un sistema nacional de ciberdefensa civil con participación real de expertos, universidades y sector privado.
Pero eso implica admitir que los ataques existen. Y ahí es donde se detiene todo.
⚙️ Colaborar no es debilidad: es supervivencia
Aceptar un ciberataque no es incompetencia, es madurez institucional.
Negar los hechos no protege a nadie.
Solo garantiza que el siguiente ataque será peor, porque los mismos agujeros seguirán ahí, invisibles y sin corregir.
Los países que comparten sus incidentes ganan conocimiento.
Los que los esconden, repiten los mismos errores.
Y México, tristemente, lleva años repitiendo el mismo ciclo: ataque, negación, olvido.
🔎 Reflexión final: la vergüenza digital
Negar un ciberataque no es proteger la soberanía.
Es renunciar a ella.
Y en tiempos donde los datos valen más que el petróleo, la soberanía digital debería ser prioridad nacional.
El Estado mexicano no puede seguir actuando como si el silencio fuera un escudo.
Porque mientras el gobierno calla, los atacantes siguen hablando… y vendiendo la información.
No se trata solo de bytes o bases de datos.
Se trata de la confianza pública, la transparencia y la seguridad nacional.
Y si las instituciones no pueden blindarse, al menos deberían tener la decencia de decir la verdad.
Porque en ciberseguridad —igual que en democracia— la transparencia no es un lujo: es sobrevivencia.