OEA-BID 2025 Cybersecurity Report: La ciberseguridad en México está atrapada entre iniciativas mal planteadas y una nula ejecución

Imagen: Andrejzt | https://www.deviantart.com/andrejzt

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

La ciberseguridad se ha convertido en un factor estructural para el desarrollo económico, la estabilidad institucional y la soberanía digital de los países. En América Latina y el Caribe, y particularmente en México, el tema ha ganado visibilidad en el discurso público. Sin embargo, entre los avances declarados y la capacidad real para enfrentar un entorno de amenazas cada vez más sofisticado persiste una brecha que no puede ignorarse.

El recientemente lanzado 2025 Cybersecurity Report: Vulnerability and Challenges to Bridging the Gaps in LAC, elaborado por la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), ofrece un diagnóstico regional que sirve como punto de partida para analizar el caso mexicano.

Aunque el documento reconoce esfuerzos institucionales y marcos estratégicos adoptados en los últimos años, su lectura detallada revela tensiones profundas entre la narrativa de progreso y la realidad operativa de la ciberseguridad en el país.

El reporte destaca iniciativas impulsadas en México desde la Estrategia Nacional de Ciberseguridad de 2017 hasta la creación, en 2025, de la Agencia de Transformación Digital y Telecomunicaciones (ATDT). También subraya la expansión de infraestructura de telecomunicaciones, la incorporación del tema en el Plan Nacional de Desarrollo 2019–2024, la participación en mecanismos multilaterales como la Alianza Digital Unión Europea–América Latina y el Caribe, y la adopción voluntaria de marcos internacionales como el NIST Cybersecurity Framework y la norma ISO/IEC 27001. A ello se suman campañas de concientización, ejercicios de simulación y el papel del CERT-MX, operado por la Guardia Nacional, como centro de respuesta a incidentes.

En el documento, el conjunto de acciones describe un ecosistema en construcción: más coordinado, más consciente del riesgo y alineado con estándares globales. No obstante, el propio contexto regional que analiza la OEA-BID obliga a poner estas afirmaciones en perspectiva. México se mantiene como uno de los países más expuestos a ciberataques a nivel mundial, con volúmenes de incidentes que superan con creces la capacidad de respuesta institucional existente.

Las cifras son graves. Durante 2024 se registraron cientos de miles de millones de intentos de intrusión, y en 2025 el ritmo de ataques se ha mantenido en niveles críticos, equivalentes a varios eventos por segundo. En los primeros meses del año, México volvió a ubicarse entre los países más afectados de América Latina y dentro del grupo de mayor riesgo global frente a amenazas como ransomware y phishing. Estos datos contrastan con la imagen de resiliencia que suele proyectarse desde documentos estratégicos.

Los incidentes recientes refuerzan esta contradicción. Ataques de malware dirigidos, filtraciones de información sensible y compromisos en sectores como el financiero, el gubernamental y el de salud muestran que las vulnerabilidades no son teóricas. Los grupos criminales operan hoy con modelos cada vez más profesionalizados, apoyados en inteligencia artificial, automatización y esquemas de ransomware como servicio. Frente a ese escenario, la respuesta sigue siendo, en muchos casos, reactiva y fragmentada.

El posicionamiento internacional de México confirma estas limitaciones. En el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones, el país se sitúa en rangos intermedios, lejos de las naciones líderes. Si bien existen avances normativos y esfuerzos de concientización, persisten carencias en capacidades técnicas, regulación efectiva, intercambio de inteligencia y mecanismos de respuesta coordinada. En una región donde los ataques crecen de forma sostenida, esta debilidad adquiere una dimensión estratégica.

La inversión es otro de los puntos críticos que el reporte regional permite dimensionar. Aunque se mencionan alianzas público-privadas y programas de apoyo a pequeñas y medianas empresas, la realidad es de subinversión crónica y desarticulación. Una proporción significativa de organizaciones carece de criterios claros para asignar recursos en ciberseguridad, mientras el país enfrenta un déficit estructural de talento especializado. El crecimiento proyectado del mercado contrasta con la lentitud para traducir ese potencial en capacidades públicas sólidas.

La eficacia institucional también está en entredicho. Estrategias previas han sido cuestionadas por su limitada implementación, la ausencia de métricas claras y la falta de continuidad entre administraciones. Las brechas en análisis forense digital, capacitación del sistema judicial y protección integral de infraestructuras críticas se han hecho evidentes tras múltiples incidentes de alto impacto. La existencia de instituciones como el CERT-MX es necesaria, pero insuficiente frente a la magnitud y complejidad del entorno de amenazas.

Desde una perspectiva editorial, el principal valor del reporte de la OEA y el BID es que obliga a replantear el enfoque. El problema de la ciberseguridad en México no es la ausencia total de estrategias, sino la distancia entre el diseño y la ejecución, entre la adhesión formal a estándares internacionales y su aplicación efectiva, entre la retórica de coordinación y la realidad operativa.

Cerrar esa brecha exige decisiones políticas y presupuestales de fondo: incrementar de manera sustancial la inversión en ciberseguridad, implementar con rigor el Plan Nacional de Ciberseguridad 2025–2030, fortalecer la formación de talento, institucionalizar el intercambio de inteligencia con el sector privado y endurecer los mecanismos de supervisión y sanción. También requiere asumir que la ciberseguridad no es un proyecto sexenal ni un componente accesorio de la digitalización, sino una condición indispensable para la estabilidad del Estado y la confianza económica.

México tiene la oportunidad de transformar su alta exposición en una ventaja estratégica si logra convertir diagnósticos como el de la OEA-BID en acciones concretas y sostenidas. De lo contrario, la brecha entre el discurso y la realidad seguirá ampliándose, en un ciberespacio cada vez más hostil, donde la inacción tiene costos crecientes y difíciles de revertir.

Para más información, visite: https://www.silikn.com/