La ciberseguridad ha dejado de ser un asunto meramente técnico para convertirse en un eje estratégico del Estado mexicano. Bajo esta premisa, el 17 de diciembre de 2025, se publicó la “Política General de Ciberseguridad para la Administración Pública Federal (APF)”, la cual está alineada con el Plan Nacional de Desarrollo (PND) 2025–2030,
Mtro. Alberto Herrasti Gómez
Febrero 2026
El Reporte de Ciberseguridad 2025, publicado el 18 de diciembre de 2025 por el Banco Interamericano de Desarrollo (BID), la Organización de Estados Americanos (OEA) y la Universidad de Oxford, mismo que se basa en el “Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones”, conformado por cinco etapas de nivel de madurez (1. StartUp; 2. Formativa; 3. Establecida; 4. Estratégica y 5. Dinámica) y clasificado en cinco dimensiones, ubica a México en las etapas 2 y 3 dentro de los aspectos analizados.
Frente a este escenario, la Política General de Ciberseguridad para la APF propone un cambio estructural: pasar de esfuerzos aislados y reactivos a un modelo integral, coordinado y basado en la gestión continua de riesgos. La Política establece principios rectores comunes, define responsabilidades institucionales claras y articula ocho ejes estratégicos que abarcan desde la gobernanza y el marco normativo, hasta la innovación, la medición y la mejora continua.
Uno de los elementos más relevantes es el fortalecimiento de la gobernanza. La Política asigna un papel central a la Agencia de Transformación Digital y Telecomunicaciones (ATDT) como instancia coordinadora, y reconoce figuras clave como el Responsable Institucional de Ciberseguridad y los esquemas federados de detección de amenazas y respuesta a incidentes. Este enfoque busca romper la fragmentación histórica entre instituciones gubernamentales y avanzar hacia una visión de Estado, coherente con lo planteado en el PND 2025–2030 en materia de eficiencia y coordinación gubernamental.
Asimismo, la Política adopta estándares internacionales y enfoques modernos como la gestión integral de riesgos, la resiliencia operativa y el modelo “Zero Trust” para el control de identidades y accesos. Esto representa un salto cualitativo respecto a enfoques tradicionales centrados únicamente en la protección perimetral, y alinea a la APF con las mejores prácticas globales.
El documento también reconoce que la ciberseguridad no se limita a la tecnología. La formación de talento especializado y la construcción de una cultura institucional de ciberseguridad ocupan un lugar central.
Como complemento estratégico, la Política General fue precedida por un Plan Nacional de Ciberseguridad que aporta una visión de largo plazo y multisectorial. Mientras la Política se enfoca en la APF, el Plan amplía el horizonte hacia la cooperación con el sector privado, la academia y la sociedad civil, reconociendo que la ciberseguridad es una responsabilidad compartida. Esta articulación resulta clave para fortalecer la soberanía digital y la capacidad nacional de respuesta ante incidentes de gran escala.
Los grandes desafíos
1. El reto principal será la implementación. Los objetivos específicos y las acciones operativas de la Política General para el año 2030 son ambiciosos y establecen instrumentos como planes institucionales, autoevaluaciones y métricas, pero su éxito dependerá de la voluntad política, la asignación de recursos (presupuesto, contrataciones efectivas y personal calificado) así como de la capacidad de coordinación interinstitucional.
2. ¿Empezar “de cero”? En la anterior Administración, la entonces Coordinación de Estrategia Digital Nacional (CEDN) estableció como política federal, la implementación de un Marco de Gestión de Seguridad de la Información (MGSI) para la APF, basado en la norma ISO-27001, en donde entre otros aspectos, las instituciones debían reportar su inventario de activos tecnológicos, sus procesos clave, su control de riesgos así como implementar 93 controles mínimos de seguridad de la información clasificados en 10 dominios con las correspondientes evidencias. El MGSI fue evaluado por la CEDN y en general por los Órganos Internos de Control (OIC) y representó un esfuerzo significativo que debería considerarse en la implementación de la nueva Política.
3. Cumplimiento de la Política General. Tanto para las dependencias y entidades de la APF como para los OIC, el seguimiento para el cumplimiento de esta Política será todo un reto. Para las primeras, reportar avances y resultados progresivos; para los segundos, la verificación con las correspondientes evidencias. Habrá que esperar a que transcurran los 180 días naturales establecidos en el Acuerdo por el que se emitió la Política General para que la ATDT publique los lineamientos técnicos, los criterios de cumplimiento y los formatos oficiales para la implementación de la Política, tomando en cuenta la gran disparidad de desarrollo de gobierno digital de las instituciones gubernamentales, sus objetivos institucionales, su obsolescencia tecnológica, su cadena de suministro, su operación cotidiana, su estructura orgánica y el presupuesto que puedan destinar para dicho cumplimiento, precisando que la Política refiere a sanciones recomendadas en caso de incumplir controles mínimos técnicos y organizacionales de carácter obligatorio.
En suma, el desafío ahora es convertir esta arquitectura normativa en resultados tangibles que fortalezcan la confianza ciudadana y acompañen el desarrollo digital del país.
*Mtro. Alberto Herrasti Gómez: Estratega con más de 25 años de experiencia en la gestión y operación de TIC en sector público | Gobierno Digital | Ciberseguridad.