Sí está la ciberseguridad en México: Entre la admisión y el diseño de su defensa

Mientras la arquitectura se construye, México enfrenta 40,600 millones de intentos de ataque en seis meses, con la manufactura como epicentro y el ransomware persistente como la amenaza dominante.

El estado de la ciberseguridad en México, visto sin espejos ni ránkings, revela dos planos que hoy empiezan a tocarse: por un lado, el reconocimiento explícito del gobierno de que no existe todavía una capacidad operativa de detección y respuesta uniforme frente a incidentes complejos; por el otro, un ecosistema (industria, academia y reguladores) que reclama *leyes, presupuesto y coordinación para que los datos y la infraestructura crítica no queden a merced de atacantes cada vez más automatizados.

La Agencia de Transformación Digital y Telecomunicaciones (ATDT) admitió recientemente que “no hay capacidad de respuesta a incidentes” en la Administración Pública Federal y adelantó una política general acompañada por un Centro de Operaciones de Ciberseguridad (CSOC) con intercambio federado de información.

Respuesta tardía y dependencia tecnológica

Los incidentes se detectan tarde; con frecuencia, meses después de iniciada la intrusión. En la práctica, la contención llega cuando el ataque ya dejó huella en sistemas y procesos, lo que obliga a recargarse en proveedores privados para acotar daños.

El plan gubernamental plantea una cultura de reporte hacia la agencia y guías de implementación para que la normativa no sea un mero checklist, además de un CSOC que federaría telemetría y coordinación con actores nacionales e internacionales. No se trata solo de comprar tecnología, subrayó la propia ATDT, sino de elevar la madurez operativa en todos los niveles.

Esta fotografía coincide con el análisis de Ernesto Ibarra, presidente de la Academia Mexicana de Ciberseguridad y Derecho Digital (Amcid), para quien no existe un indicador-país que mida de forma integral la madurez de ciberseguridad (federal, estatal y municipal) ni el desarrollo de talento y ecosistema; de ahí la propuesta de un índice nacional que permita orientar recursos, políticas y estándares.

En paralelo, Ibarra sitúa los siguientes pasos en una política pública federal con lineamientos obligatorios (CISO por dependencia, estrategias internas y grupos de trabajo), y un efecto de arrastre al sector privado a través de compras públicas con criterios de seguridad.

Ataques masivos, más reconocimiento y foco en manufactura

Mientras la institucionalidad madura, el volumen y la calidad de las amenazas siguen escalando. De acuerdo con Fortinet, en el primer semestre de 2025 México sufrió 40,600 millones de intentos de ciberataques, segundo lugar regional; Latinoamérica concentró 25% de las detecciones globales.

La tendencia no es solo cuantitativa. Los actores invierten en reconocimiento y escanean redes a un ritmo de 36,000 intentos por segundo; solo en México, 17,000 millones de escaneos activos entre enero y junio de 2025. Estas campañas se apoyan en herramientas con inteligencia artificial (IA) que automatizan la ruta desde la intrusión hasta la explotación.

El blanco preferido no es casual. Tanto el reporte de Fortinet como la telemetría de Kaspersky coinciden en el riesgo para la tecnología operativa (OT) y la manufactura.

Fortinet advierte que los entornos industriales dejaron de ser daño colateral de los ciberataques y hoy son objetivos primarios para interrumpir servicios y exigir rescates, con la manufactura como la vertical más atacada por segundo año consecutivo. Además se observan campañas personalizadas en telecomunicaciones, salud y servicios financieros.

En el caso de México, una radiografía de agosto de 2024 a julio de 2025 ubica a la industria de México como el principal objetivo del país, pues sitúa a los procesos de manufactura con 22.91% de los eventos por sector; muy por encima de gobierno (13.39%) y retail (6.16%), lo que refuerza el sesgo táctico de los atacantes hacia cadenas productivas sensibles al tiempo de detención de las operaciones.