¿Avanza realmente la ciberseguridad en México? Seis meses después del anuncio, la protección a la ciudadanía sigue en el papel

Cuando el gobierno de la presidenta Claudia Sheinbaum presentó en diciembre de 2025 el Plan Nacional de Ciberseguridad 2025-2030, la promesa fue contundente: fortalecer las capacidades digitales del Estado, blindar la infraestructura crítica y reducir la vulnerabilidad de millones de mexicanos frente a una amenaza creciente y cada vez más sofisticada.

Meses después, la estrategia fue reforzada con la publicación de la Política General de Ciberseguridad para la Administración Pública Federal en el Diario Oficial de la Federación. El mensaje oficial apuntaba a un cambio de paradigma que colocaría a México en la ruta hacia la ciberresiliencia.

Sin embargo, a más de medio año del lanzamiento de la estrategia nacional —184 días después de las promesas de transformación digital y fortalecimiento de la seguridad informática—, la evidencia obliga a plantear una pregunta incómoda: ¿México es hoy un país más seguro en el entorno digital o los avances siguen siendo principalmente administrativos, sin resultados visibles para los millones de ciudadanos que continúan expuestos a filtraciones, fraudes y robo de información?

Desde una perspectiva gubernamental, existen logros que pueden considerarse relevantes. La nueva política de ciberseguridad obligó a las dependencias federales a designar responsables especializados, se impulsaron programas de capacitación, se fortalecieron campañas de concientización y se mantuvo la operación del CERT-MX como mecanismo de atención y reporte de incidentes.

También se avanzó en la construcción de marcos normativos y en la coordinación con iniciativas regionales, un terreno donde México arrastraba años de rezago tras la falta de actualización de su estrategia nacional desde 2017.

No obstante, la pregunta central no es si existen más reuniones, más nombramientos o más documentos oficiales. La pregunta es si los ciudadanos están hoy mejor protegidos.

La respuesta, hasta el momento, parece ser negativa.

Mientras las instituciones reportan avances organizacionales, los incidentes de seguridad continúan acumulándose.

Durante los primeros meses de 2026 se registraron filtraciones y compromisos de información que involucraron a organismos como el IMSS, el SAT, la UNAM, la Secretaría de Salud, Protección Civil y diversas plataformas gubernamentales estatales. En distintos casos, datos personales, financieros, médicos y administrativos de ciudadanos mexicanos terminaron expuestos o circulando en espacios clandestinos de internet.

El fenómeno no es aislado ni excepcional. Por el contrario, refleja una tendencia persistente que pone en duda la capacidad del Estado para traducir su nueva estrategia en resultados tangibles.

La persistencia de estas vulnerabilidades ha sido ampliamente señalada por expertos del sector. La unidad de investigación de SILIKN, por ejemplo, ha reportado de manera recurrente incidentes que involucran registros civiles, organismos estatales y sistemas gubernamentales que administran datos personales sensibles, evidenciando que las brechas de seguridad continúan siendo una preocupación constante.

La persistencia de estos incidentes evidencia una brecha entre la narrativa institucional y la experiencia cotidiana de millones de usuarios cuyos datos continúan siendo vulnerables.

A pesar de la relevancia otorgada al tema desde el Ejecutivo federal, varios de los componentes más importantes anunciados junto con la estrategia nacional siguen sin concretarse.

México aún carece de un Centro Nacional de Operaciones de Ciberseguridad plenamente consolidado y de un CSIRT Nacional con capacidades robustas para coordinar la respuesta a incidentes de gran escala. Tampoco ha llegado al Congreso una Ley General de Ciberseguridad que establezca obligaciones claras, mecanismos de supervisión y consecuencias para quienes incumplan estándares mínimos de protección.

Sin estos instrumentos, la estrategia corre el riesgo de quedarse en una etapa predominantemente administrativa, sin capacidad real para modificar el panorama de amenazas que enfrenta el país.

La ciberseguridad es una disciplina donde el tiempo juega un papel determinante. Mientras las instituciones diseñan políticas, elaboran diagnósticos y construyen estructuras burocráticas, los grupos criminales evolucionan constantemente, automatizan ataques y explotan vulnerabilidades a una velocidad muy superior.

México continúa siendo uno de los países más atacados de la región, enfrentando miles de millones de intentos de intrusión cada año. El crecimiento del phishing, el fraude digital, el robo de identidad y la comercialización ilegal de bases de datos demuestra que el ecosistema de amenazas mantiene una ventaja considerable frente a las capacidades de defensa institucional.

El gobierno sostiene que el Plan Nacional se encuentra apenas en su fase inicial de implementación y que los resultados más visibles llegarán entre 2027 y 2028, cuando entren en operación capacidades avanzadas de monitoreo, respuesta y coordinación nacional.

Sin embargo, para millones de ciudadanos cuyos datos ya han sido comprometidos en una o varias ocasiones, la expectativa de beneficios futuros resulta insuficiente frente a los riesgos presentes.

Seis meses después de su lanzamiento, el Plan Nacional de Ciberseguridad ha logrado poner en marcha una nueva arquitectura institucional y sentar bases normativas que durante años estuvieron ausentes. No obstante, la evidencia disponible muestra que esos avances todavía no se traducen en una reducción perceptible de los riesgos para la población.

La distancia entre las promesas y los resultados sigue siendo evidente.

La verdadera prueba para la estrategia nacional de ciberseguridad no estará en los planes anunciados, los acuerdos suscritos, las disposiciones publicadas, o los discursos en las plazas públicas sino en su capacidad para generar resultados concretos: proteger efectivamente los datos de los ciudadanos, fortalecer la resiliencia de las plataformas gubernamentales frente a las amenazas digitales y restablecer la confianza pública en los servicios tecnológicos del Estado.

Reducir la distancia entre los objetivos planteados y la realidad operativa representa uno de los retos más importantes para México en materia de seguridad digital. El éxito de este esfuerzo no sólo determinará el nivel de protección de millones de personas frente a los riesgos cibernéticos, sino también la credibilidad de la estrategia de transformación digital que impulsa el gobierno federal.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | CyberOps Associate (CCNA CyberOps) | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.