Firewall y NAC del Gobierno: Estrategia que Llega Tarde al Cibercrimen

Si sigues de cerca la evolución de la ciberseguridad, sabrás que el ritmo de las amenazas digitales ya no se mide en años, sino en meses. Ataques automatizados, malware impulsado por inteligencia artificial, campañas de espionaje persistente y técnicas de evasión cada vez más sofisticadas son hoy el pan de cada día. En ese contexto, cualquier estrategia de protección que no mire hacia adelante corre el riesgo de nacer vieja.

Eso es justamente lo que muchos expertos señalan tras la publicación del Acuerdo Marco para el Arrendamiento de equipos de seguridad Firewall y Control de Acceso a la Red (NAC) del gobierno federal. Aunque sobre el papel parece un avance administrativo, cuando analizas el fondo técnico y estratégico surgen preguntas incómodas: ¿está realmente preparado el sector público para las amenazas actuales y las que vienen?

Desde TecnetOne, creemos que este debate es clave, no solo para especialistas, sino para cualquier ciudadano que dependa de servicios públicos digitales.

Qué es el Acuerdo Marco y por qué importa

El acuerdo, publicado el 12 de enero de 2026, establece un esquema centralizado para que las dependencias de la Administración Pública Federal contraten, vía arrendamiento, soluciones de firewall y NAC a través de la plataforma Compras MX. El objetivo oficial es claro:

1. Homologar criterios
   
   
2. Evitar procesos de compra improvisados
   
   
3. Reducir discrecionalidad
   
   
4. Acelerar adquisiciones

En teoría, suena bien. Durante años, cada dependencia compraba “como podía”, con estudios técnicos desiguales y sin una visión común de ciberseguridad. El acuerdo reconoce implícitamente ese problema histórico.

Sin embargo, ordenar la compra no equivale automáticamente a fortalecer la defensa digital.

Estandarizar no siempre es sinónimo de modernizar

El mayor punto de fricción está en el enfoque técnico del acuerdo. Al revisar su Anexo Técnico, queda claro que la visión de ciberseguridad está anclada en modelos tradicionales de perímetro, pensados para un mundo donde las redes eran más cerradas y los ataques menos dinámicos.

Sí, se exigen capacidades como:

1. Inspección de tráfico
   
   
2. Prevención de intrusiones
   
   
3. VPN
   
   
4. Control de usuarios

Pero también se aceptan:

1. Algoritmos criptográficos que ya muestran signos de obsolescencia
   
   
2. Umbrales de desempeño modestos (como 10 Gbps de throughput)
   
   
3. Modelos de NAC centrados en validaciones estáticas

Hoy, con nube híbrida, IoT, trabajo remoto, servicios 24/7 y conectividad 5G, esos parámetros resultan justos para el presente y claramente insuficientes para el futuro cercano.

Conoce más: Coatlicue: La Supercomputadora que Revela El Atraso Digital de México

El gran ausente: una visión Zero Trust real

Uno de los puntos más críticos es el enfoque del Control de Acceso a la Red. El NAC planteado en el acuerdo sigue basándose en una lógica clásica: validar el dispositivo al entrar y asumir que, una vez dentro, es confiable.

Ese modelo choca de frente con los principios modernos de Zero Trust, donde:

1. Nada ni nadie es confiable por defecto
   
   
2. La verificación es continua
   
   
3. El acceso se ajusta dinámicamente al contexto

En entornos gubernamentales, donde conviven sistemas heredados, proveedores externos y múltiples niveles de acceso, no adoptar Zero Trust de forma decidida es dejar una puerta abierta.

Competencia en precio, no en estrategia

Otro aspecto preocupante es el modelo de contratación. Cada vez que una dependencia necesite equipamiento, deberá invitar a todos los proveedores inscritos en el acuerdo. En la práctica, la competencia se reduce a:

1. Precio
   
   
2. Cumplimiento mínimo de requisitos

Esto favorece soluciones “suficientes” pero no necesariamente las más robustas o innovadoras. La ciberseguridad, sin embargo, no debería decidirse como si fuera papelería de oficina. Elegir únicamente por precio en un entorno de amenazas avanzadas es una apuesta arriesgada.

El riesgo del encierro tecnológico

El acuerdo también introduce un problema clásico: el vendor lock-in. Al exigir que distintos tipos de firewall provengan del mismo fabricante, se limita la interoperabilidad y se reduce la flexibilidad futura.

Paradójicamente, una política pensada para evitar malas prácticas podría:

1. Concentrar el mercado en pocos proveedores
   
   
2. Dificultar la adopción de nuevas tecnologías
   
   
3. Incrementar costos a largo plazo

En lugar de fortalecer la soberanía digital, este enfoque puede terminar profundizando la dependencia tecnológica.

Arrendar vs. construir capacidades propias

El esquema de arrendamiento se presenta como flexible, pero plantea una duda de fondo:

¿qué gana el Estado a largo plazo?

Arrendar equipos sin una estrategia paralela de:

1. Transferencia de conocimiento
   
   
2. Formación de personal
   
   
3. Desarrollo de capacidades internas

suele resultar más caro y menos sostenible. La ciberseguridad no se compra como un electrodoméstico; se construye con personas, procesos y tecnología alineados.

Sin talento interno fuerte, cualquier infraestructura termina siendo una caja negra dependiente del proveedor.

El impacto en estados y municipios

El acuerdo no solo aplica al gobierno federal. Estados y municipios que utilicen recursos federales deberán ajustarse a estas reglas. Esto amplía el alcance del modelo, pero también exporta sus debilidades a niveles de gobierno que, en muchos casos, tienen menos presupuesto, menos especialistas y más rezago tecnológico.

El riesgo es claro: una estandarización mal planteada puede convertirse en una limitación estructural para quienes más necesitan flexibilidad y apoyo.

Títulos similares: ¿El Gobierno Mexicano Está Siendo Hackeado por sus Propios Empleados?

Orden administrativo sí, estrategia digital no tanto

Ser justos implica reconocer que el Acuerdo Marco tiene aspectos positivos:

1. Mayor control del gasto
   
   
2. Transparencia formal
   
   
3. Reducción de procesos improvisados
   
   
4. Menos espacio para corrupción

Pero la ciberseguridad nacional no se resuelve solo con orden administrativo. Se necesita:

1. Visión de largo plazo
   
   
2. Actualización constante
   
   
3. Apertura a innovación
   
   
4. Alineación con estándares globales

En un entorno donde los atacantes ya usan inteligencia artificial, automatización y técnicas de evasión avanzadas, defenderse con lineamientos pensados para ayer es jugar en desventaja.

Una brecha que sigue creciendo

Mientras el sector público avanza lentamente en procesos normativos, los actores maliciosos evolucionan sin restricciones. No tienen ciclos presupuestales, ni acuerdos marco, ni licitaciones. Se adaptan, prueban, fallan y vuelven a atacar.

La consecuencia es clara: la brecha entre amenaza y defensa se amplía.

Reflexión final

El Acuerdo Marco para firewall y NAC es un paso hacia el orden, pero no necesariamente hacia la resiliencia digital. Sin una apuesta decidida por innovación, Zero Trust, talento interno y arquitecturas modernas, la estandarización corre el riesgo de convertirse en una nueva forma de rezago institucional.

Desde TecnetOne, creemos que la ciberseguridad del sector público debe tratarse como un asunto estratégico de país, no solo como un problema de compras. Porque proteger la infraestructura digital del Estado no es solo una cuestión técnica; es una cuestión de confianza, estabilidad y futuro.

Ordenar es necesario. Anticiparse es indispensable.