De cara a 2026, el rezago de México en ciberseguridad no está en el análisis, sino en la falta de planes sólidos y ejecución efectiva

La ciberseguridad ya no puede entenderse como un asunto técnico marginal. Hoy es un pilar estructural del desarrollo económico, la estabilidad institucional y la soberanía digital de los Estados. En América Latina y el Caribe —y de manera particularmente aguda en México— el tema ha ganado espacio en el discurso público. Sin embargo, entre los avances que se anuncian y la capacidad real del país para enfrentar un entorno de amenazas cada vez más complejo persiste una brecha profunda que no puede seguir siendo minimizada.

El 2025 Cybersecurity Report: Vulnerability and Challenges to Bridging the Gaps in LAC, elaborado por la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), ofrece un diagnóstico regional que resulta especialmente útil para evaluar el caso mexicano. Aunque el informe reconoce esfuerzos institucionales y marcos estratégicos adoptados en los últimos años, una lectura crítica deja en evidencia tensiones claras entre la narrativa oficial de progreso y la realidad operativa de la ciberseguridad en el país.

El reporte enumera iniciativas relevantes: desde la Estrategia Nacional de Ciberseguridad de 2017 hasta la creación, en 2025, de la Agencia de Transformación Digital y Telecomunicaciones (ATDT); la expansión de infraestructura de telecomunicaciones; la inclusión del tema en el Plan Nacional de Desarrollo 2019–2024; la participación en esquemas multilaterales como la Alianza Digital Unión Europea–América Latina y el Caribe; y la adopción voluntaria de marcos internacionales como el NIST Cybersecurity Framework y la norma ISO/IEC 27001. A ello se suman campañas de concientización, ejercicios de simulación y la operación del CERT-MX, bajo la Guardia Nacional, como centro nacional de respuesta a incidentes.

En conjunto, estas acciones proyectan la imagen de un ecosistema en construcción: más alineado con estándares globales y más consciente del riesgo. No obstante, el propio contexto regional que analiza la OEA-BID obliga a poner este relato en perspectiva. México continúa siendo uno de los países más expuestos a ciberataques a nivel mundial, con volúmenes de incidentes que superan ampliamente la capacidad real de respuesta institucional.

Los datos son contundentes. Durante 2024 se registraron cientos de miles de millones de intentos de intrusión, y en 2025 el ritmo de ataques se ha mantenido en niveles críticos, equivalentes a varios eventos por segundo. En los primeros meses del año, México volvió a ubicarse entre los países más afectados de América Latina y dentro del grupo de mayor riesgo global frente a amenazas como ransomware y phishing. Estas cifras contrastan de manera directa con la imagen de resiliencia que suele desprenderse de los documentos estratégicos.

Los incidentes recientes confirman que el problema no es abstracto. Ataques de malware dirigidos, filtraciones de información sensible y compromisos en sectores clave —financiero, gubernamental y de salud— evidencian vulnerabilidades estructurales persistentes. Los grupos criminales operan hoy con un alto grado de profesionalización, apoyados en inteligencia artificial, automatización y modelos de negocio como el ransomware como servicio. Frente a este escenario, la respuesta del Estado sigue siendo, en demasiados casos, reactiva, fragmentada y tardía.

El posicionamiento internacional de México refuerza esta lectura crítica. En el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones, el país se mantiene en rangos intermedios, lejos de las naciones líderes. Si bien existen avances normativos y esfuerzos de concientización, persisten deficiencias en capacidades técnicas, regulación efectiva, intercambio de inteligencia y mecanismos de respuesta coordinada. En una región donde las amenazas crecen de forma sostenida, esta debilidad tiene implicaciones estratégicas.

La inversión es otro punto crítico. Aunque el reporte menciona alianzas público-privadas y programas de apoyo a pequeñas y medianas empresas, la realidad es una subinversión crónica y una profunda desarticulación. Una proporción significativa de organizaciones —incluidas entidades públicas— carece de criterios claros para asignar recursos en ciberseguridad, mientras el país enfrenta un déficit estructural de talento especializado. El crecimiento proyectado del mercado contrasta con la lentitud para traducir ese potencial en capacidades públicas robustas.

La eficacia institucional también está en entredicho. Estrategias anteriores han sido cuestionadas por su limitada implementación, la ausencia de métricas verificables y la falta de continuidad entre administraciones. Las brechas en análisis forense digital, en la capacitación del sistema judicial y en la protección integral de infraestructuras críticas se han hecho evidentes tras múltiples incidentes de alto impacto. La existencia de organismos como el CERT-MX es necesaria, pero claramente insuficiente frente a la escala y sofisticación del entorno de amenazas.

Desde una perspectiva crítica, el principal valor del reporte de la OEA y el BID es obligar a replantear el enfoque. El problema central de la ciberseguridad en México no es la ausencia de estrategias o diagnósticos, sino la distancia persistente entre el diseño y la ejecución; entre la adhesión formal a estándares internacionales y su aplicación efectiva; entre la retórica de coordinación y la realidad operativa del Estado.

De cara a 2026, el gobierno de México debe asumir que cerrar esta brecha exige decisiones políticas y presupuestales de fondo. No basta con anunciar planes: es imprescindible incrementar de manera sustancial y sostenida la inversión en ciberseguridad, implementar con rigor el Plan Nacional de Ciberseguridad 2025–2030, fortalecer de forma estructural la formación de talento especializado, institucionalizar el intercambio de inteligencia con el sector privado y endurecer los mecanismos de supervisión, auditoría y sanción.

Más aún, el Estado debe reconocer que la ciberseguridad no es un proyecto sexenal ni un componente accesorio de la transformación digital. Es una condición indispensable para la estabilidad institucional, la protección de infraestructuras críticas y la confianza económica del país.

México aún tiene la oportunidad de convertir su alta exposición al riesgo en una ventaja estratégica, si logra transformar diagnósticos como el de la OEA-BID en acciones concretas, medibles y sostenidas. De lo contrario, la brecha entre el discurso oficial y la realidad operativa seguirá ampliándose, en un ciberespacio cada vez más hostil, donde la inacción tiene costos crecientes y difícilmente reversibles.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.