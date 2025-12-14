Víctor Ruiz es analista y consultor en temas relacionados con ciberseguridad. (Silikn)

En días recientes, la Agencia de Transformación Digital y Telecomunicaciones (ATDT) presentó con amplio despliegue el Plan Nacional de Ciberseguridad 2025-2030, un documento de 85 páginas que busca posicionar a México como un “referente regional en gobernanza de ciberseguridad” y consolidar un “ecosistema digital confiable y seguro”. El plan destaca por su presentación impecable, un discurso ambicioso y el respaldo técnico del Banco Interamericano de Desarrollo (BID).

No obstante, un análisis detallado revela que el documento se acerca más a un compendio de aspiraciones que a una estrategia operativa, particularmente en un país que, sólo en los primeros meses de 2025, ha enfrentado más de 40 mil millones de intentos de ciberataque. Las acciones previstas se proyectan hasta 2030, un horizonte que resulta insuficiente frente a la magnitud y la velocidad del fenómeno, especialmente cuando México registra un promedio de cuatro ciberataques por segundo. Establecer metas a tan largo plazo genera la percepción de que, de no actuar con mayor rapidez, el país podría quedar sin capacidad real de protección.

El propio diagnóstico del plan confirma la urgencia: México ocupa el segundo lugar en América Latina con más víctimas de ransomware difundidas en la dark web (155 entre 2019 y septiembre de 2025); en 2024 se observó un incremento anual del 78% en ciberataques; y siete de cada diez dependencias federales presentan vulnerabilidades de alto riesgo. Sin embargo, la transición del análisis a las acciones concretas es donde el documento resulta más deficiente.

Uno de los vacíos más evidentes es la falta de asignación presupuestal. El plan no detalla los costos asociados a la creación del Centro Nacional de Operaciones en Ciberseguridad (CSOC), la capacitación de miles de servidores públicos ni la implementación del anunciado Marco Nacional de Gestión de Riesgos. En un contexto de “austeridad republicana”, con nuevos recortes al gasto tecnológico en 2025, omitir las cifras de inversión compromete desde su origen la viabilidad de la estrategia.

La ausencia de un cronograma detallado es otro punto crítico. Aunque se mencionan “metas trimestrales” y se anticipa la publicación de ciertas políticas hacia el cuarto trimestre de 2025, el documento no establece hitos intermedios, dependencias entre proyectos ni mecanismos de ajuste en caso de incumplimiento. Tampoco contempla un análisis exhaustivo de los distintos perfiles de atacantes, sus motivaciones o los procesos de sanción para responsables nacionales o extranjeros. Asimismo, no incorpora acciones específicas frente a amenazas prioritarias como fraudes digitales, ciberacoso, filtraciones de datos, operaciones de grupos criminales transnacionales y la creciente vinculación entre organizaciones de cibercrimen y células del narcotráfico.

En un contexto donde México registró 237 mil intentos de ransomware entre 2024 y 2025, la ausencia de un tablero de control con revisiones mensuales y consecuencias claras por incumplimiento representa un riesgo estratégico.

La definición de responsabilidades también es difusa. Aunque la mayor carga recae en la nueva Dirección General de Ciberseguridad (DGCiber), no existe una matriz que precise funciones ante incidentes que afecten a dependencias como la Secretaría de Salud, Pemex o gobiernos estatales. La falta de claridad es especialmente preocupante considerando que la Guardia Nacional —y con ella el CERT-MX— fue integrada a la estructura de la SEDENA, lo que podría derivar en duplicidades y vacíos operativos.

Cárteles de droga contratan hackers

A ello se suma una omisión central: la falta de reconocimiento explícito del ecosistema criminal que impulsa buena parte del cibercrimen en México. Aunque el plan refiere al ransomware y a la inteligencia artificial generativa, pasa por alto que grupos como el CJNG y el Cártel de Sinaloa han incorporado técnicas avanzadas como el lavado de dinero mediante criptomonedas, la contratación de hackers y el uso de deepfakes para extorsiones y fraudes a gran escala. Tampoco se plantean estrategias para rastrear flujos ilícitos en blockchain, coordinarse con la Unidad de Inteligencia Financiera o desarticular células locales vinculadas a grupos como Conti o LockBit.

Asimismo, el documento omite abordar ataques a la cadena de suministro privada —que incluyen sectores como manufactura, salud y comercio minorista— responsables de más de la mitad de los incidentes graves del último año. También queda pendiente la protección obligatoria de infraestructura crítica no gubernamental y la mitigación de riesgos asociados al uso de deepfakes para suplantación de identidades de funcionarios y empresarios.

En síntesis, el Plan Nacional de Ciberseguridad 2025-2030 carece de los elementos indispensables para su ejecución: presupuesto definido, cronograma detallado, responsables claros y una visión integral del entorno criminal que amenaza al país. Difundir una estrategia con estas carencias no solo genera una falsa percepción de seguridad, sino que expone a la sociedad a mayores vulnerabilidades.

Mientras no se atiendan estas deficiencias, el plan permanecerá como una iniciativa de valor limitado, en un país que continúa perdiendo capacidad frente a los desafíos del entorno digital.

