Plan Nacional de Ciberseguridad 2025–2030: un documento ambicioso, pero vacío, imprudente e incompleto
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
Esta semana la nueva Agencia de Transformación Digital y Telecomunicaciones (ATDT) presentó con bombo y platillo el Plan Nacional de Ciberseguridad 2025–2030, un documento de 85 páginas que promete convertir a México en “referente regional en gobernanza de ciberseguridad” y crear un “ecosistema digital confiable y seguro”. La portada luce impecable, la retórica es ambiciosa y hasta incluye el apoyo técnico del BID.
El problema es que, al leerlo con atención, se parece más a un deseo de Navidad que a un plan ejecutable en un país que en lo que va de 2025 ya acumula más de 40 mil millones de intentos de ciberataque. Es importante señalar que el plan establece fases a cumplirse entre 2025 y 2030, un plazo completamente desproporcionado y tardío frente a la magnitud del problema, especialmente cuando México enfrenta en promedio cuatro ciberataques por segundo. Proyectar acciones hasta 2030 transmite la sensación de que, si no aceleramos, pronto no quedará nada que proteger.
El diagnóstico que hace el propio documento es demoledor: México es el segundo país de América Latina con más víctimas de ransomware publicadas en la dark web (155 entre 2019 y septiembre de 2025), registra un incremento interanual del 78% en ciberataques durante 2024 y siete de cada diez dependencias federales presentan vulnerabilidades críticas. Sin embargo, cuando llega la hora de pasar de las palabras a los hechos, el plan se queda peligrosamente corto.
No hay un solo peso etiquetado. Ni una línea menciona cuánto costará crear el Centro Nacional de Operaciones en Ciberseguridad (CSOC), formar a miles de funcionarios o implementar el Marco Nacional de Gestión de Riesgos que tanto presume. En un gobierno que sigue aplicando la política de “austeridad republicana” y que en 2025 volvió a recortar presupuesto a tecnología, omitir las cifras de inversión equivale a condenar el plan al cajón desde el día uno.
Tampoco existen cronogramas reales. Se habla de “metas trimestrales” y de que en el cuarto trimestre de 2025 ya estarán publicadas ciertas políticas, pero no hay hitos intermedios, dependencias entre proyectos ni mecanismos de corrección si algo falla. El documento no aborda los distintos perfiles de atacantes, sus motivaciones ni los mecanismos de sanción aplicables, ya sean responsables nacionales o extranjeros. Además, no define acciones concretas frente a las principales amenazas que hoy afectan al país: fraudes y estafas digitales, ciberacoso, filtraciones de datos, operaciones de grupos criminales internacionales y la creciente colaboración entre organizaciones de cibercrimen y células del narcotráfico.
En un entorno donde el 237 mil intentos de ransomware golpearon al país solo en 2024–2025, la ausencia de un tablero de control con revisiones mensuales y sanciones por incumplimiento es una invitación al desastre.
Las responsabilidades están difuminadas. Todo recae en la flamante Dirección General de Ciberseguridad (DGCiber), pero no existe una matriz clara que indique quién hace qué cuando un ataque toque a la Secretaría de Salud, a Pemex o a un gobierno estatal. En un país donde la Guardia Nacional (y su CERT-MX) ya fueron absorbidos por la SEDENA, esa falta de claridad garantiza duplicidades y, sobre todo, vacíos de poder.
Pero quizá la omisión más grave es la que tiene que ver con el enemigo real. El plan menciona el ransomware y la inteligencia artificial generativa, pero pasa de puntillas por el hecho de que gran parte del cibercrimen mexicano ya no es ejecutado o financiado por los propios cárteles. El CJNG y el Cártel de Sinaloa no solo trafican droga; usan criptomonedas para lavar dinero, contratan hackers para extorsionar y emplean deepfakes para fraudes masivos.
Nada de eso aparece en las 85 páginas. Tampoco hay una sola estrategia para rastrear flujos ilícitos en blockchain, colaborar con la Unidad de Inteligencia Financiera o desarticular los nodos locales de grupos como Conti o LockBit que operan con total impunidad desde territorio nacional.
Igualmente ausentes están los ataques a la cadena de suministro privada (manufactura, salud, retail) que representan más de la mitad de los incidentes graves del último año, ni la protección obligatoria de infraestructuras críticas no gubernamentales, ni el combate a los deepfakes que ya se usan para suplantar a funcionarios y empresarios.
En resumen, el Plan Nacional de Ciberseguridad 2025–2030 es un excelente diagnóstico envuelto en una bonita portada institucional, pero carece de presupuesto, cronograma, responsables claros y, sobre todo, de valor para mirar de frente al verdadero ecosistema criminal que opera en México. Difundir un documento de este tipo es un acto de irresponsabilidad, ya que transmite una sensación de seguridad inexistente y expone a la población a mayores riesgos.
Mientras no se corrijan esas ausencias, seguirá siendo solo una buena intención en un país que cada día pierde más la batalla digital.
Para más información, visite: https://www.silikn.com/