El gobierno federal presentó el Plan Nacional de Ciberseguridad que busca mejorar la protección del país en esta materia, elevar las capacidades de las autoridades federales, impulsar la coordinación y, eventualmente, brindar asistencia técnica internacional, para lo cual se plantean objetivos en tres etapas en el periodo 2025-2030, con un Consejo Nacional de Ciberseguridad bajo la rectoría de la ATDT y con su Dirección de Ciberseguridad como entidad normativa y operativa.
Durante la presentación del Plan, Heidy Rocha, directora de Ciberseguridad de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), señaló que el tema no se puede resolver de manera individual.
Es por ello que el Consejo Nacional de Ciberseguridad tendrá la participación de la academia, el gobierno y la industria y su arquitectura se complementa con un Centro de Operaciones de Ciberseguridad (CSOC) nacional y un Centro de Respuesta a Incidentes de Seguridad Computacionales (CSIRT, por sus siglas en inglés) nacional para la administración pública federal.
El plan se divide en tres etapas y busca colocar a México como un referente regional y global en la materia, teniendo en cuenta que de acuerdo con la Unión Internacional de Telecomunicaciones (UIT), el país se encuentra en nivel 2 de ciberseguridad y por eso el plan se complementará con una Política Nacional de Ciberseguridad, que se dará a conocer “durante el cuarto trimestre de 2025”.
Explicó que en un contexto internacional, donde México registró hasta 155 tipos de víctimas de ransomware, y donde el crecimiento del número de ataques se disparó en más de 25 por ciento en el último año, es indispensable contar con las herramientas para protegerse no sólo en la administración pública federal, sino en todo el ecosistema.
Además, ante la cercanía de la Copa Mundial de Futbol 2026, México será uno de los blancos preferidos de la delincuencia cibernética, ante lo cual también el país debe estar preparado, detalló.
En su oportunidad, Mario Alberto Cortés director de Estrategia y gobierno de Ciberseguridad de la ATDT, detalló las etapas en las que se realizará este trabajo.
La primera fase (2025-2026) incluye varios proyectos clave: un marco federal de ciberseguridad para garantizar que todos los actores compartan los conceptos y “hablen igual sobre ciberseguridad”, incluyendo la Política General que la ATDT dará a conocer en aproximadamente dos semanas.
En esta primera etapa, también se crearán sistemas de alerta y notificaciones de vulnerabilidad, y se contratará la adhesión de México al LAC4, que es el principal organismo de ciberseguridad en América Latina y se publicará también la Estrategia Nacional de Ciberseguridad y la Ley General de Ciberseguridad que se presentará ante el Congreso de la Unión.
Esta Ley, dijo, busca concentrar toda la gestión en un solo instrumento legal para prevenir incidentes y gestionar las amenazas, con un sistema de sanciones proporcional y donde se privilegie la capacitación de los servidores públicos, con la participación de estados, municipios, la academia y, en general, todos los participantes de la cadena de suministro.
Esta primera etapa, que también será la más retadora, incluirá un inventario de infraestructura crítica, un programa de evaluación de vulnerabilidades, y un trabajo específico para que las dependencias públicas mejoren su nivel de madurez en ciberseguridad, porque “hay secretarías y dependencias con mucha madurez, pero otras que no tienen los mismos niveles” y la idea es homologar de manera general a todas las dependencias.
Esto incluye capacitación y concientización al personal de la administración pública federal no sólo a los técnicos especialistas, sino a toda la plantilla en general, para que cualquier funcionario público sepa identificar las amenazas.
La segunda etapa abarcará de 2027 a 2028 e incluye la consolidación de la gestión de riesgos a nivel federal; integrará el entrenamiento avanzado, con ejercicios anuales, simulacros de ataques y mejora de gestión; con la segunda etapa del CSOC y el CSIRT en marcha y la adopción de la Inteligencia Artificial en la administración pública federal que se convierta en parte del “día a día” en el gobierno federal para la ciberseguridad.
La tercera etapa del Plan abarca 2029 y 2030 e incluye la Ventanilla Única de Información en Ciberseguridad, la creación del Observatorio de la Administración Pública Federal en la materia, la implementación de una Estrategia de Exportación de Servicios, la Certificación Nacional para la Administración Pública Federal en ciberseguridad y la implementación de una operación nacional automatizada 24 horas siete días de la semana.
Para ello, dijo, evidentemente se requerirán recursos económicos que se irán gestionando año con año para garantizar suficiencia presupuestaria constante y operación continua, además de que la estrategia se revisará, por lo menos, cada dos años, para irla ajustando de acuerdo a las necesidades de este cambiante escenario.
En una participación remota, Jorge Mora, del Banco Interamericano de Desarrollo (BID) destacó que esta estrategia posiciona a México a nivel regional e internacional y demuestra el compromiso político de nuestro país en materia de ciberseguridad.
“Con este plan México demuestra que es importante el tema y que se está tomando acción con modelos de gobernanza que ayudan a organizarse de la mejor forma posible en un país grande y con muchos desafíos, que se están tomando con seriedad y con una hoja de ruta muy bien estructurada”.
A su vez, Agustín Tiburcio, titular del Comité de Tecnologías de la Información de Index, destacó que esta estrategia no es improvisada y tampoco “estamos inventando el hilo negro”, sino que procede del conocimiento adquirido tanto a nivel gobierno como de la IP, que se está integrando en una Política que pretende volver a México un referente en materia de ciberseguridad, en lugar de que destaque como el segundo país más ciberatacado en América Latina.
C$T-GM
