México presenta su Plan Nacional de Ciberseguridad 2025–2030 entre dudas sobre su viabilidad y vacíos críticos
Ciudad de México.— El Gobierno de México, a través de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), presentó el Plan Nacional de Ciberseguridad 2025–2030, un documento que busca marcar un antes y un después en la protección digital del país. La estrategia llega en un momento especialmente delicado: México se ha consolidado como uno de los países más atacados de América Latina, con incidentes que han golpeado a dependencias federales, empresas privadas, instituciones educativas y sistemas financieros.
Entre 2022 y 2025, se registraron al menos 16 ciberincidentes críticos, incluyendo el hackeo masivo a SEDENA, ataques de ransomware a SICT y CONAGUA, y filtraciones en la DGETI. En el sector privado, compañías como Bimbo, Coppel, Foxconn y Coca-Cola FEMSA también fueron víctimas de extorsiones digitales. Durante este periodo, México se posicionó como el segundo país latinoamericano con más organizaciones afectadas por ransomware: 155 casos documentados, de los cuales un 25% se atribuye al grupo LockBit.
El documento presenta un diagnóstico inusualmente transparente para estándares gubernamentales. Reconoce la existencia de una brecha severa de talento, una “notable fragmentación regulatoria”, capacidades institucionales disparejas y un incremento de amenazas impulsadas por inteligencia artificial, como deepfakes, campañas de desinformación y ataques de ingeniería social avanzados.
A partir de este análisis, el plan plantea una hoja de ruta de seis años dividida en etapas que incluyen la creación de un Centro de Operaciones de Ciberseguridad (CSOC), un CSIRT Nacional de carácter civil, programas de búsqueda de vulnerabilidades —que en 2025 detectaron más de 750 fallas—, la eliminación de portales fraudulentos, la formación de talento público mediante una academia virtual federal y la clasificación de infraestructuras críticas. También contempla la integración de una Red Nacional de CSIRTs para blindar el Mundial de 2026, así como el desarrollo de un Cyber Range en 2027 y la implementación de IA para ciberdefensa en 2028.
Sin embargo, la estrategia ha generado interrogantes. A pesar de su amplitud y ambición, el documento carece de definiciones clave como presupuestos específicos, fuentes de financiamiento y mecanismos detallados de cumplimiento y sanción. Tampoco aborda con precisión la coordinación entre instancias civiles y militares, particularmente debido a que el CERT-MX continúa bajo control castrense.
Expertos consultados señalan que la mayor incertidumbre gira en torno a la ejecución, más que al diseño. El plan propone metas técnicas avanzadas, pero sin una ley marco nacional, sin recursos garantizados y con una brecha de talento reconocida por el propio gobierno, su viabilidad está en entredicho. Además, la dependencia de la continuidad administrativa durante los próximos seis años representa un riesgo adicional.
El propio documento clasifica su nivel actual como “regular”, aunque con potencial de volverse “bueno”, siempre que exista disciplina institucional, inversión sostenida y profesionalización del sector público. De lo contrario, advierten especialistas, el plan podría sumarse a la lista de estrategias que quedan en papel mientras las amenazas continúan creciendo.
En un entorno marcado por la expansión del IoT, el aumento del comercio electrónico y la digitalización gubernamental, México enfrenta presiones inéditas. Y mientras el país se prepara para proteger infraestructuras críticas durante el Mundial de 2026, la pregunta principal sigue sin resolverse: ¿podrá el nuevo plan cerrar las brechas más profundas antes de que ocurra el próximo ataque?
Esta es una historia en desarrollo.