México enfrenta desafíos en materia de seguridad cibernética. El naciente Plan Nacional de Ciberseguridad de la Agencia de Transformación Digital y Telecomunicaciones traza una hoja de ruta ambiciosa para 2025-2030, con proyectos que abarcan desde la creación de un Centro Nacional de Operaciones en Ciberseguridad (CSOC) hasta la adopción de inteligencia artificial para ciberdefensa. 

Estos avances son necesarios y bienvenidos, puesto que el diagnóstico del propio plan indica que México se encuentra entre los países más atacados de América Latina, con una concentración de incidentes públicos y víctimas en foros de ransomware que lo posicionan como un objetivo atractivo para los criminales.

Entre las fortalezas del documento destaca su carácter integral. El plan aborda gobernanza, talento, cooperación internacional, gestión de riesgos e innovación tecnológica. Plantea la elaboración de una Estrategia Nacional para 2026, la integración de una Red de CSIRTs y un sistema de alertas críticas para la Administración Pública Federal (APF). 

Además, incorpora instrumentos técnicos concretos como protocolos de notificación y escalamiento y mediciones de madurez institucional. Estas piezas del plan muestran comprensión del problema y ofrecen un marco operativo que muchas naciones emergentes aún no han implementado.

Sin embargo, la ambición del plan convive con ausencias y debilidades que pueden minar su eficacia si no se corrigen de inmediato. En primer lugar, persiste una brecha de talento donde la demanda de especialistas supera con creces la oferta. El plan reconoce esta limitación y propone iniciativas educativas y certificaciones, pero la magnitud del déficit exige un esquema de formación acelerada que incluya incentivos para retener personal en el sector público.

La fragmentación regulatoria sigue siendo un desafío. El plan propone un Marco General de Ciberseguridad para la APF y mecanismos de supervisión por parte de la DGCiber, lo cual es positivo. No obstante, el documento aún depende en buena medida de lineamientos, protocolos y recursos dispersos. Existe el riesgo de que la regulación permanezca como letra muerta, salvo que se establezcan sanciones, incentivos y auditorías periódicas con recursos presupuestales asignados.

Una ausencia relevante es la definición clara de responsabilidades y consecuencias para el sector público y privado en casos de incidentes que afecten servicios esenciales. Los líderes globales en ciberseguridad han adoptado enfoques más duros, donde la notificación obligatoria va acompañada de sanciones por incumplimiento y de requisitos mínimos de seguridad para sectores críticos. 

California es un ejemplo donde, en el marco de protección de datos personales, las empresas deben notificar brechas y enfrentan sanciones por fallos de seguridad. El aprendizaje de Estados Unidos, Reino Unido y Estonia indica que la exigencia normativa sobre el sector privado, combinada con incentivos regulatorios y apoyo técnico, incentiva la inversión proactiva en seguridad.

Algunos lineamientos en México ya reconocen la necesidad de marcos de gestión institucionales. En el ámbito gubernamental la ley y las obligaciones señalan que las instituciones deberán contar con un Marco de Gestión de Seguridad de la Información (MGSI) alineado a la Política General de Seguridad de la Información. 

La incorporación de un MGSI estandarizado aporta un lenguaje común para evaluar madurez y cumplimiento. El reto práctico consiste en asegurar su implementación real en cada dependencia, con auditorías y una ruta clara de prevención y remediación de incidentes.

Otra oportunidad que el plan plantea y que requiere prioridad es la cooperación internacional y la diplomacia cibernética. Aprender de naciones líderes como Estonia implica construir capacidad diplomática para influir en normas internacionales del ciberespacio y participar en ejercicios conjuntos con aliados. México puede y debe aspirar a un liderazgo regional mediante intercambio de inteligencia, ejercicios compartidos y estándares comunes, lo cual fortalecerá su resiliencia.

No menos importante es la sostenibilidad financiera del plan. Proyectos como el CSOC, el Cyber Range Nacional y la IA para ciberdefensa demandan inversión sostenida durante años. Sin planificación presupuestaria a largo plazo, existe el riesgo de iniciativas incompletas que no alcancen su madurez operativa.

El plan sí reconoce la necesidad de sostenibilidad presupuestaria y propone certificaciones y sellos de cumplimiento en ciberseguridad que pueden generar incentivos reputacionales y económicos para su cumplimiento.

El Plan Nacional de Ciberseguridad es un primer paso necesario hacia la profesionalización de la ciberseguridad pública en México. Su ambición es correcta, así como su diagnóstico realista sobre la situación de vulnerabilidad nacional.

Para transformar intenciones en resultados será imprescindible priorizar la formación de talento, armonizar normativas dispersas, obligaciones y sanciones al sector privado, asegurar recursos estables para proyectos críticos y elevar la diplomacia cibernética para compartir información y responsabilidades a escala regional. 

Si se integran estas piezas, México podrá transitar de una posición peligrosa de riesgo hacia una postura de resiliencia, pasando por la prevención, la respuesta y la rendición de cuentas para construir la confianza digital que hoy no tenemos.

Twitter: @beltmondi