Una comisión y el consenso político que podrían determinar si México avanza hacia una ciberseguridad sólida o permanece expuesto ante las amenazas digitales

octubre 23, 2025

Una comisión y el consenso político que podrían determinar si México avanza hacia una ciberseguridad sólida o permanece expuesto ante las amenazas digitales

Imagen: AndrejZT | https://www.deviantart.com/andrejzt

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

La creación de la Comisión Ordinaria de Ciberseguridad en el Senado mexicano, propuesta el 21 de octubre y prevista para operar durante la LXVI Legislatura, podría representar un paso decisivo en el fortalecimiento de la defensa digital del país. Esta iniciativa, alineada con la Estrategia Nacional de Seguridad Pública 2024–2030, tiene como propósito analizar, dictaminar y dar seguimiento a los temas vinculados con la ciberseguridad nacional, la protección de los entornos digitales y la prevención de delitos informáticos.

En un escenario donde México aún se apoya en marcos legales dispersos — como el Código Penal Federal, la Ley Federal de Protección de Datos Personales y la Ley Federal de Telecomunicaciones y Radiodifusión — , la comisión busca avanzar hacia una legislación integral. Iniciativas recientes, como la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de Particulares en marzo y la futura Agencia Nacional de Ciberseguridad, reflejan el interés por fortalecer la soberanía digital y garantizar los derechos humanos en el entorno digital.

Comparativa internacional: aprendizajes para México

En la Unión Europea, la Directiva NIS2, adoptada en 2022 y aplicada en 2024, establece un marco unificado entre los 27 Estados miembros. Este modelo regula infraestructuras críticas — como energía, salud y transporte — , incorpora nuevos sectores, exige la notificación de incidentes en un plazo de 24 horas y promueve la cooperación interinstitucional mediante centros de respuesta a ciberataques. A diferencia de la iniciativa mexicana, aún en fase inicial y sin sanciones explícitas, NIS2 impone multas severas y auditorías obligatorias, lo que refuerza la supervisión y la rendición de cuentas. México podría tomar este enfoque como referencia para reducir la fragmentación normativa y avanzar hacia una mayor armonización legal.

En Estados Unidos, la Cybersecurity Information Sharing Act (CISA) de 2015, junto con el marco del NIST, adopta un enfoque federal y sectorial que promueve el intercambio de información sobre amenazas entre el gobierno y la iniciativa privada. Este sistema establece guías para gestionar riesgos en cinco fases — identificar, proteger, detectar, responder y recuperar — , con ejercicios de simulación y atención especial al Internet de las Cosas (IoT) y la seguridad portuaria. Aunque el modelo estadounidense es descentralizado, la colaboración entre entidades como CISA y NIST garantiza una coordinación eficiente. La comisión mexicana podría aprovechar herramientas similares, como las guías del NIST, para fortalecer su supervisión y fomentar una mayor cooperación público-privada.

En China, la Ley de Ciberseguridad de 2017 establece un marco nacional enfocado en la infraestructura crítica, imponiendo la localización de datos, revisiones de seguridad para exportaciones y un monitoreo constante de redes. Este modelo, bajo la supervisión del Ministerio de Seguridad Pública, combina un control centralizado con sanciones estrictas. Aunque comparte con México la prioridad en la soberanía digital, la propuesta mexicana mantiene un enfoque más democrático y centrado en los derechos humanos, lo que marca una diferencia sustancial respecto al modelo chino.

Por su parte, Singapur cuenta con la Ley de Ciberseguridad de 2018 y el Plan Maestro de Ciberseguridad OT 2024, que protege la infraestructura crítica de información y amplía su cobertura a sistemas operativos físicos. Su Agencia de Ciberseguridad exige auditorías, reportes obligatorios y medidas de seguridad en la cadena de suministro. Este modelo, más avanzado en seguridad operativa, podría servir como referencia para fortalecer la protección de sectores estratégicos en México, como el energético.

En Australia, la Ley de Seguridad de Infraestructura Crítica (SOCI) de 2018 — reformada en 2021 — obliga a operadores públicos y privados a implementar programas de gestión de riesgos, reportar incidentes y someterse a auditorías, bajo coordinación con agencias de inteligencia. Este enfoque coincide con los objetivos de la comisión mexicana, aunque el modelo australiano es más maduro en la aplicación de mandatos obligatorios y sanciones, lo que ofrece una guía clara para armonizar normativas y fortalecer la protección de infraestructuras críticas.

Desafíos por superar

La implementación de la comisión enfrenta obstáculos significativos que podrían poner en riesgo su efectividad. Las diferencias políticas entre Morena, PAN y PRI amenazan con retrasar los acuerdos necesarios para avanzar en una legislación sólida. Si los partidos no logran llegar a un consenso, México no solo continuará sin un marco legal adecuado, sino que además los ciudadanos permaneceremos expuestos a ciberamenazas bajo una falsa sensación de seguridad. A ello se suma la escasez de talento especializado, reportada por el 86% de las organizaciones, y los presupuestos limitados, que dificultan la operación y el desarrollo de capacidades técnicas. La armonización con leyes ya existentes, como el Código Penal Federal, será esencial para evitar vacíos legales, mientras que la evolución acelerada de amenazas, como la ingeniería social impulsada por inteligencia artificial (responsable del 42% de los incidentes), podría superar la capacidad inicial de respuesta de la comisión.

Acciones pendientes para los legisladores

Para que la comisión cumpla su propósito y no quede en el papel, los senadores deben actuar con urgencia y responsabilidad política. Es fundamental aprobar su creación con representación plural, definir directrices operativas claras e impulsar una ley integral de ciberseguridad que responda a la realidad digital del país. Asimismo, deben destinar recursos suficientes a la formación de talento, considerando que el 96% de las organizaciones planea modernizar su infraestructura tecnológica. Además, se espera que promuevan audiencias con actores clave del sector y refuercen alianzas internacionales para mejorar la detección y respuesta ante incidentes. La inacción o los intereses partidistas podrían dejar al país en un estado de vulnerabilidad permanente, donde la seguridad digital sea más una promesa que una realidad tangible.

Para maximizar su impacto, la comisión debería priorizar el desarrollo de una ley integral de ciberseguridad, inspirada en modelos como NIS2 para la armonización normativa y SOCI para la protección de sectores críticos. Fomentar la colaboración internacional y cerrar brechas en recursos humanos y técnicos será fundamental para consolidar un sistema de defensa digital sólido. Con ello, México se posicionaría en una ruta hacia una ciberseguridad más madura y resiliente, aunque su éxito dependerá de la efectiva implementación de estas medidas en un entorno cada vez más desafiante.

Para mayor información, visite: https://www.silikn.com/