Acuerdo Marco para el Arrendamiento de equipos de seguridad Firewall y Control de Acceso a la Red (NAC): estrategia digital del gobierno sigue un paso atrás de las amenazas
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
- Mientras las amenazas cibernéticas se sofistican mediante inteligencia artificial y esquemas de ataque automatizados, la infraestructura tecnológica del sector público sigue respaldada por lineamientos que parecen concebidos para quedar obsoletos en el corto plazo.
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
El gobierno federal informó la puesta en marcha del Acuerdo Marco para el Arrendamiento de equipos de seguridad Firewall y Control de Acceso a la Red (NAC) (https://www.gob.mx/shcp/documentos/proyecto-de-acuerdo-marco-para-el-arrendamiento-de-equipo-para-firewall-y-nac), un mecanismo orientado a la contratación de soluciones de ciberseguridad con el que busca homologar y acelerar la adquisición del perímetro tecnológico encargado de resguardar las redes de la Administración Pública Federal (APF). No obstante, aunque la medida se presenta como un avance en orden y eficiencia administrativa, también expone carencias de fondo — tanto técnicas como estratégicas — que reflejan el atraso con el que el Estado mexicano enfrenta un escenario digital marcado por amenazas cada vez más complejas y persistentes.
El acuerdo, publicado el 12 de enero de 2026, fue promovido por la Secretaría Anticorrupción y Buen Gobierno, la Secretaría de Hacienda y Crédito Público y la Agencia de Transformación Digital y Telecomunicaciones. Su justificación oficial es evitar que cada dependencia diseñe desde cero procesos de compra, estudios técnicos y criterios de evaluación para la contratación de herramientas como firewalls y sistemas de Control de Acceso a la Red (NAC). En los hechos, el documento confirma que durante años el propio gobierno careció de una política coherente y coordinada para proteger su infraestructura digital.
Más que una compra centralizada, el instrumento establece un marco general de arrendamiento a través de la plataforma Compras MX, donde las dependencias podrán contratar a proveedores previamente autorizados bajo reglas técnicas y administrativas homogéneas. Si bien esto reduce la discrecionalidad en las adquisiciones, también concentra las decisiones tecnológicas en un catálogo limitado, con el riesgo de reproducir esquemas de dependencia hacia un pequeño grupo de grandes fabricantes y proveedores.
El modelo de contratación obliga a las instituciones públicas a invitar a todos los proveedores inscritos en el acuerdo cada vez que se requiera equipamiento, promoviendo una competencia basada casi exclusivamente en precio y cumplimiento mínimo de requisitos. Sin embargo, este enfoque prioriza el control administrativo por encima de la calidad estratégica de las soluciones, en un contexto donde las amenazas cibernéticas evolucionan mucho más rápido que los ciclos presupuestales y normativos del gobierno.
El acuerdo tendrá vigencia hasta diciembre de 2028, y los contratos específicos podrán celebrarse a partir de enero de 2026. Además, estados y municipios que utilicen recursos federales deberán someterse a estas mismas reglas. Esta obligatoriedad amplía el alcance del modelo, pero también extiende sus debilidades a niveles de gobierno que, en muchos casos, enfrentan carencias aún más graves de personal especializado y capacidades técnicas.
Desde el discurso oficial, la medida busca “profesionalizar” la contratación de soluciones de seguridad digital y reforzar la supervisión del gasto público. No obstante, un análisis detallado del Anexo Técnico revela una visión de ciberseguridad anclada en paradigmas que ya muestran signos de agotamiento. Las especificaciones, derivadas de estudios de mercado realizados en 2025, priorizan arquitecturas tradicionales de firewall y NAC, con capacidades que resultan apenas suficientes para escenarios actuales, pero claramente limitadas frente a tecnologías emergentes como inteligencia artificial aplicada a la detección de amenazas, criptografía post-cuántica o modelos avanzados de seguridad en la nube.
Aunque el documento exige funciones como inspección de tráfico, prevención de intrusiones, VPN y control de usuarios, también tolera el uso de algoritmos criptográficos obsoletos y establece umbrales de desempeño — como throughput máximo de 10 Gbps — que resultan modestos para redes gubernamentales cada vez más expuestas al internet de las cosas, servicios en la nube y conectividad 5G. En el caso del NAC, el enfoque sigue siendo estático, centrado en la validación inicial de dispositivos, y deja de lado principios modernos de confianza continua y Zero Trust que hoy son estándar en organizaciones de alto riesgo.
A ello se suma un problema estructural: el potencial encierro tecnológico. Al exigir que los distintos tipos de firewall provengan del mismo fabricante, el acuerdo limita la interoperabilidad, reduce la competencia real y puede encarecer los costos a mediano y largo plazo. Paradójicamente, una política diseñada para combatir prácticas monopólicas podría terminar reforzándolas.
El esquema de arrendamiento, defendido como flexible, también plantea dudas financieras. A largo plazo, este modelo suele resultar más oneroso que la adquisición directa, especialmente cuando no se acompaña de una estrategia clara de transferencia de capacidades ni de formación de talento interno. En lugar de fortalecer la soberanía digital del Estado, el acuerdo parece consolidar su dependencia tecnológica.
Si bien el Acuerdo Marco representa un avance en términos de control administrativo, transparencia formal y prevención de corrupción, su alcance estratégico es limitado. La ciberseguridad gubernamental no se resuelve únicamente con reglas de compra más ordenadas, sino con visión de largo plazo, inversión sostenida en innovación y una actualización constante frente a amenazas cada vez más sofisticadas.
En este sentido, el gobierno federal muestra avances en el ordenamiento de sus procesos de contratación, pero mantiene un ritmo insuficiente ante un entorno digital que evoluciona sin pausas. Mientras las amenazas cibernéticas se sofistican mediante inteligencia artificial y esquemas de ataque automatizados, la infraestructura tecnológica del sector público sigue respaldada por lineamientos que parecen concebidos para quedar obsoletos en el corto plazo. Sin un componente claro de innovación, la estandarización corre el riesgo de traducirse no en modernización, sino en una nueva expresión del rezago institucional.
Para mayor información, visite: https://www.silikn.com/