La CDMX llega tarde al phishing: no basta castigar al defraudador si el Estado sigue filtrando los datos

El problema es que esta propuesta llega tarde, y llega incompleta.

Llega tarde porque el phishing que hoy afecta a miles de personas no nace de la nada. Muchos ataques ya no son correos genéricos mal escritos ni mensajes improvisados. Hoy el fraude digital se alimenta de bases de datos previamente expuestas: nombres completos, CURP, domicilios, teléfonos, datos de salud, datos bancarios, registros oficiales y credenciales obtenidas por filtraciones, accesos indebidos o vulnerabilidades mal atendidas. Y en México, una parte importante de ese riesgo ha venido precisamente de fallas en instituciones públicas.

El Congreso capitalino aprobó castigar el phishing con penas que, de acuerdo con reportes periodísticos, pueden llegar hasta nueve años de prisión, además de agravantes cuando se afecte a personas mayores, menores o personas con discapacidad. Sin embargo, castigar al último eslabón del fraude no resuelve el problema si antes no se atiende la fuente que lo hace posible: la acumulación, exposición y mala protección de datos personales por parte del propio Estado.

La iniciativa original reconoce que el phishing no estaba tipificado de forma específica en el Código Penal local y plantea agregar una fracción al artículo 231. Pero su redacción técnica es problemática: mezcla conceptos como radiodifusión, telecomunicaciones, “red de redes”, sitios espejo, intercepción, reinyección de datos, manipulación informática y vulnerabilidades del sistema operativo en una fórmula amplia y confusa. Ese tipo de redacción puede terminar generando incertidumbre jurídica: una ley contra phishing debe ser clara, proporcional y técnicamente precisa, no una colección de términos informáticos acumulados.

También llama la atención que el dictamen y la discusión pública parecen concentrarse en la sanción penal, pero no en la responsabilidad institucional. La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados ya establece obligaciones para los entes públicos: inventario de datos, análisis de riesgos, análisis de brecha, documento de seguridad, acciones correctivas, bitácora de vulneraciones y notificación a titulares afectados cuando exista una vulneración significativa. La pregunta es inevitable: ¿de qué sirve crear un nuevo delito si las autoridades que ya están obligadas a proteger datos personales no acreditan públicamente que cumplen con esas medidas?

El caso no es hipotético. En 2025 se reportó la vulneración y venta de información de aproximadamente 20 millones de personas pensionadas del IMSS, con datos como nombres, domicilios, CURP, número de seguridad social, fechas de nacimiento y datos sensibles de salud. R3D advirtió que ese tipo de información puede detonar fraudes y extorsiones dirigidas contra una población altamente vulnerable. En 2024 también se reportó la filtración de accesos a la intranet de la Secretaría de Seguridad Ciudadana de la CDMX, en particular al sistema ATLAS, con el riesgo de que usuarios no autorizados pudieran modificar información policial. Y en 2026 se reportó un ciberataque atribuido a Chronus Team que habría expuesto 2.3 terabytes de información de instituciones federales, estatales, municipales y partidistas, afectando a más de 36 millones de personas.

Ese es el punto central: el phishing moderno se vuelve mucho más efectivo cuando el atacante ya sabe quién eres, dónde vives, qué institución usas, qué trámite hiciste, qué servicio recibes o qué dato oficial puede usar para convencerte. No se trata solo de “usuarios que caen”. Se trata de ciudadanos colocados en riesgo por ecosistemas institucionales débiles.

Sobre los promotores, la información pública permite identificar a Olivia Garza de los Santos, diputada de representación proporcional del PAN, como promovente de la iniciativa; y a Alberto Martínez Urincho, diputado de Morena y presidente de la Comisión de Administración y Procuración de Justicia, como figura clave en el dictamen y la exposición ante el pleno. No encontramos, en los documentos consultados, una identificación clara de asesores técnicos externos especializados en ciberseguridad, protección de datos o derecho digital que hayan participado públicamente en la redacción. Esa ausencia importa, porque una reforma sobre phishing no debería diseñarse solo desde la lógica penal: requiere conocimiento técnico, experiencia en investigación digital, estándares de protección de datos, perspectiva de derechos humanos y comprensión real de cómo operan las bandas de fraude.

Desde Ciber Conciencia Digital consideramos que la reforma puede ser útil si ayuda a fiscales y jueces a clasificar mejor ciertas conductas. Pero es insuficiente si se vende como solución integral. Penalizar el phishing sin auditar la seguridad del gobierno es como ponerle candado a la puerta después de haber repartido copias de la llave.

La CDMX y el gobierno federal no pueden pedirle a la ciudadanía que confíe más datos, más biométricos, más registros y más trámites digitales, mientras siguen apareciendo filtraciones, accesos expuestos, bases vendidas y sistemas vulnerables. La confianza digital no se decreta; se demuestra.

Errores o focos rojos de la propuesta

Primero, la redacción técnica del tipo penal debe depurarse. El phishing debe definirse como una conducta de suplantación o engaño orientada a obtener datos, credenciales, dinero o acceso indebido, no como una lista confusa de técnicas informáticas.

Segundo, debe evitarse criminalizar de forma ambigua actividades legítimas de investigación, pruebas de seguridad, auditoría, análisis forense, educación o divulgación responsable de vulnerabilidades.

Tercero, si se contempla bloqueo de enlaces, dominios o contenidos, deben existir controles judiciales, transparencia, trazabilidad y mecanismos de impugnación. Sin eso, una medida contra fraude puede convertirse en herramienta de censura o abuso.

Cuarto, la reforma debe distinguir entre quien comete fraude, quien aloja infraestructura sin conocimiento, quien presta un servicio intermediario y quien reporta un incidente. No todos los actores tecnológicos tienen la misma responsabilidad ni la misma capacidad operativa.

Quinto, falta el componente más incómodo: sancionar y auditar a las instituciones públicas que pierden, exponen o tratan negligentemente datos personales. Si el Estado filtra los datos que luego usan los delincuentes, el Estado también debe responder.

Recomendaciones para el gobierno

1. Realizar auditorías externas e independientes de ciberseguridad en dependencias que manejan datos sensibles, especialmente salud, identidad, seguridad pública, programas sociales y trámites digitales.
2. Publicar versiones ejecutivas de análisis de riesgos, análisis de brecha y planes de remediación, sin exponer información que comprometa la seguridad.
3. Crear protocolos reales de notificación a víctimas cuando sus datos hayan sido expuestos, con lenguaje claro y acciones concretas de protección.
4. Fortalecer equipos de respuesta a incidentes, no solo áreas de comunicación social que minimicen filtraciones.
5. Establecer reglas claras para divulgación responsable de vulnerabilidades, de modo que investigadores de seguridad puedan reportar fallas sin miedo a persecución.
6. Evitar nuevas bases masivas de datos personales o biométricos si no existe evidencia pública de capacidad técnica, jurídica y presupuestal para protegerlas.
7. Capacitar a ministerios públicos, policías de investigación y jueces en evidencia digital, cadena de custodia, trazabilidad de infraestructura y cooperación internacional.
8. Hacer campañas de prevención, pero sin trasladar toda la culpa al usuario. La prevención ciudadana no sustituye la responsabilidad institucional.

Recomendaciones para usuarios

1. Desconfía de mensajes que usen urgencia: “tu cuenta será bloqueada”, “tienes una multa”, “confirma tus datos”, “recibe apoyo” o “actualiza tu registro”.
2. No abras enlaces recibidos por SMS, WhatsApp, correo o redes sociales cuando pidan contraseñas, códigos, datos bancarios o documentos oficiales.
3. Entra a bancos, gobierno y servicios importantes escribiendo tú mismo la dirección o usando la app oficial.
4. Activa verificación en dos pasos, preferentemente con aplicación autenticadora o llave física, no solo SMS.
5. Usa contraseñas distintas para cada servicio y guarda todo en un administrador de contraseñas.
6. Revisa periódicamente movimientos bancarios, correos de recuperación y sesiones abiertas en tus cuentas.
7. Si recibes una llamada supuestamente de banco o gobierno, cuelga y llama tú al número oficial.
8. Si tus datos aparecen en una filtración, cambia contraseñas, activa alertas bancarias, monitorea intentos de crédito o trámites a tu nombre y documenta todo.
9. No compartas códigos de verificación con nadie. Ningún banco, plataforma o autoridad seria debe pedirte un código por teléfono o mensaje.
10. Habla con adultos mayores de tu familia. Ellos suelen ser el blanco más rentable para fraudes personalizados.

La ley puede ayudar, pero no basta. La verdadera ciberseguridad empieza cuando el gobierno deja de tratar los datos personales como un botín administrativo y empieza a cuidarlos como lo que son: una extensión de la vida, la identidad y la seguridad de las personas.