A pesar de haberse mantenido en el limbo por más de un sexenio, el rápido desarrollo de la Inteligencia Artificial, así como los crecientes daños causados por ataques digitales, sugieren que una robusta Ley de Ciberseguridad sea aprobada eventualmente en México.

No sería la primera vez que se buscase regular el espacio digital en el país; sin embargo, esta ley podría marcar una pauta importante dentro de las cambiantes tendencias gubernamentales que hoy lo dictan.

¿Qué es la Ley de Ciberseguridad en México y qué implica?

México es el segundo país que más hackeos registra en Latinoamérica. Según información de Appdome, el 48 % de los consumidores mexicanos afirman tener víctimas cercanas de diferentes tipos de ciberataques.

Desde ataques de ransomware que interrumpen operaciones de empresas e instituciones de gobierno, hasta campañas de phishing que resultan en fraude y apropiación de cuentas, el mercado mexicano está altamente cotizado por grupos criminales internacionales.

La Ley Federal de Ciberseguridad es un intento por centralizar información, sancionar delitos cibernéticos y requerir a las empresas la creación de comités internos que capaciten, evalúen y gestionen ataques y amenazas.

Propuestas similares han sido planteadas desde el sexenio de Enrique Peña Nieto, y muchos se preguntan si la versión más reciente —propuesta ante el Congreso en marzo de 2025— pudiera ser la definitiva.

Sin embargo, lo que algunos ven como un paso hacia adelante en la gestión de ciberataques, otros lo perciben como una propuesta superficial que podría afectar de manera negativa a las instituciones del país.

Puntos clave de la propuesta

• Creación del Centro Nacional de Ciberseguridad (CNC): órgano rector para coordinar la prevención, detección y respuesta ante incidentes cibernéticos.
• Obligación de notificar incidentes de ciberseguridad: las empresas deberán reportar vulneraciones a las autoridades competentes.
• Clasificación del ciberespacio como infraestructura crítica: se protegería como cualquier activo nacional esencial (energía, telecomunicaciones, etc.).
• Tipificación de nuevos delitos cibernéticos: como el acceso no autorizado, interferencia de sistemas y manipulación de datos.
• Responsabilidades empresariales en ciberseguridad: implementación de políticas internas, pruebas de seguridad y unidades de respuesta.

¿Cómo afecta esta ley a las empresas en México?

En caso de ser aprobada, las empresas mexicanas tendrán que adaptarse a prácticas rigurosas como:

• Implementar políticas y protocolos internos de ciberseguridad.
• Establecer Unidades de Respuesta a Incidentes (CSIRT).
• Realizar pruebas de penetración y auditorías periódicas.
• Notificar incidentes relevantes a las autoridades dentro de los plazos establecidos.
• Capacitar regularmente al personal en ciberseguridad.

Estos cambios podrían tener consecuencias tanto positivas como negativas.
Por un lado, implementar políticas de concientización es una forma eficaz de prevenir ataques como el phishing. Por otro lado, la regulación constante de comités internos requerirá una considerable inversión de tiempo y dinero.

¿Qué preocupaciones genera la nueva Ley?

Está claro que las leyes que abarcan espacios previamente no regulados siempre generarán dudas en torno a su ejecución. En este caso, expertos locales advierten sobre el impacto que esta ley podría tener en la sociedad mexicana.

Según reportan diarios como El Financiero y Publimetro, muchos se muestran escépticos ante las ambigüedades que presenta el marco legal, tales como la criminalización de conductas menores como el “hackeo ético” y el análisis de vulnerabilidades. Además, calificar al ciberespacio como infraestructura crítica sugiere que el gobierno podría llevar a cabo un monitoreo masivo que rompería con políticas de privacidad y derechos humanos.

El cambiante mundo de la regulación cibernética

La Ley Federal de Ciberseguridad es solo una muestra de cómo el panorama latinoamericano intenta adaptarse al ritmo de los avances tecnológicos. Sin embargo, la transformación regulatoria sucede en todo el mundo.

En España, el Ministerio para la Transformación Digital y de la Función Pública aprobó recientemente un proyecto para el uso ético de la Inteligencia Artificial. Con esta ley, el gobierno español busca impulsar el desarrollo de la IA bajo prácticas que minimicen los posibles daños a la sociedad.

También hemos visto cómo ciertos gobiernos difieren en su visión sobre regulación y transparencia. En Estados Unidos, el presidente Donald Trump ha mostrado una postura ambigua en torno a la ciberseguridad.

Recientemente, una carta filtrada reveló que el gobierno estadounidense no había renovado a tiempo el contrato con el CVE (Common Vulnerabilities and Exposures), organismo que recopila información sobre vulnerabilidades globales. Aunque el contrato fue finalmente renovado, el episodio generó preocupación dentro de la comunidad cibernética.

Conclusión

Las ciberamenazas a las que hoy en día se enfrentan tanto pequeñas como grandes instituciones evolucionan a una velocidad acelerada. Por ello, resulta natural que el sector público busque intervenir para proteger la integridad de los sistemas digitales en este panorama cambiante.

La propuesta de una Ley de Ciberseguridad en México representa una oportunidad para fortalecer la resiliencia institucional; sin embargo, también plantea desafíos que no pueden ignorarse, como el riesgo a la privacidad y los costos de implementación.

Para las empresas, el mejor enfoque será mantenerse informadas, capacitar a sus equipos, y adoptar medidas de cumplimiento flexibles que les permitan adaptarse rápidamente a un entorno regulatorio en constante transformación.
Estar preparados no solo garantizará el cumplimiento legal, sino también la confianza de sus clientes y su supervivencia en la era digital.