Si sigues de cerca la evolución de la ciberseguridad, sabrás que el ritmo de las amenazas digitales ya no se mide en años, sino en meses. Ataques automatizados, malware impulsado por inteligencia artificial, campañas de espionaje persistente y técnicas de evasión cada vez más sofisticadas son hoy el pan de cada día. En ese contexto, cualquier estrategia de protección que no mire hacia adelante corre el riesgo de nacer vieja.
Eso es justamente lo que muchos expertos señalan tras la publicación del Acuerdo Marco para el Arrendamiento de equipos de seguridad Firewall y Control de Acceso a la Red (NAC) del gobierno federal. Aunque sobre el papel parece un avance administrativo, cuando analizas el fondo técnico y estratégico surgen preguntas incómodas: ¿está realmente preparado el sector público para las amenazas actuales y las que vienen?
Desde TecnetOne, creemos que este debate es clave, no solo para especialistas, sino para cualquier ciudadano que dependa de servicios públicos digitales.
El acuerdo, publicado el 12 de enero de 2026, establece un esquema centralizado para que las dependencias de la Administración Pública Federal contraten, vía arrendamiento, soluciones de firewall y NAC a través de la plataforma Compras MX. El objetivo oficial es claro:
En teoría, suena bien. Durante años, cada dependencia compraba “como podía”, con estudios técnicos desiguales y sin una visión común de ciberseguridad. El acuerdo reconoce implícitamente ese problema histórico.
Sin embargo, ordenar la compra no equivale automáticamente a fortalecer la defensa digital.
El mayor punto de fricción está en el enfoque técnico del acuerdo. Al revisar su Anexo Técnico, queda claro que la visión de ciberseguridad está anclada en modelos tradicionales de perímetro, pensados para un mundo donde las redes eran más cerradas y los ataques menos dinámicos.
Sí, se exigen capacidades como:
Pero también se aceptan:
Hoy, con nube híbrida, IoT, trabajo remoto, servicios 24/7 y conectividad 5G, esos parámetros resultan justos para el presente y claramente insuficientes para el futuro cercano.
Conoce más: Coatlicue: La Supercomputadora que Revela El Atraso Digital de México
Uno de los puntos más críticos es el enfoque del Control de Acceso a la Red. El NAC planteado en el acuerdo sigue basándose en una lógica clásica: validar el dispositivo al entrar y asumir que, una vez dentro, es confiable.
Ese modelo choca de frente con los principios modernos de Zero Trust, donde:
En entornos gubernamentales, donde conviven sistemas heredados, proveedores externos y múltiples niveles de acceso, no adoptar Zero Trust de forma decidida es dejar una puerta abierta.
Otro aspecto preocupante es el modelo de contratación. Cada vez que una dependencia necesite equipamiento, deberá invitar a todos los proveedores inscritos en el acuerdo. En la práctica, la competencia se reduce a:
Esto favorece soluciones “suficientes” pero no necesariamente las más robustas o innovadoras. La ciberseguridad, sin embargo, no debería decidirse como si fuera papelería de oficina. Elegir únicamente por precio en un entorno de amenazas avanzadas es una apuesta arriesgada.
El acuerdo también introduce un problema clásico: el vendor lock-in. Al exigir que distintos tipos de firewall provengan del mismo fabricante, se limita la interoperabilidad y se reduce la flexibilidad futura.
Paradójicamente, una política pensada para evitar malas prácticas podría:
En lugar de fortalecer la soberanía digital, este enfoque puede terminar profundizando la dependencia tecnológica.
El esquema de arrendamiento se presenta como flexible, pero plantea una duda de fondo:
¿qué gana el Estado a largo plazo?
Arrendar equipos sin una estrategia paralela de:
suele resultar más caro y menos sostenible. La ciberseguridad no se compra como un electrodoméstico; se construye con personas, procesos y tecnología alineados.
Sin talento interno fuerte, cualquier infraestructura termina siendo una caja negra dependiente del proveedor.
El acuerdo no solo aplica al gobierno federal. Estados y municipios que utilicen recursos federales deberán ajustarse a estas reglas. Esto amplía el alcance del modelo, pero también exporta sus debilidades a niveles de gobierno que, en muchos casos, tienen menos presupuesto, menos especialistas y más rezago tecnológico.
El riesgo es claro: una estandarización mal planteada puede convertirse en una limitación estructural para quienes más necesitan flexibilidad y apoyo.
Títulos similares: ¿El Gobierno Mexicano Está Siendo Hackeado por sus Propios Empleados?
Ser justos implica reconocer que el Acuerdo Marco tiene aspectos positivos:
Pero la ciberseguridad nacional no se resuelve solo con orden administrativo. Se necesita:
En un entorno donde los atacantes ya usan inteligencia artificial, automatización y técnicas de evasión avanzadas, defenderse con lineamientos pensados para ayer es jugar en desventaja.
Mientras el sector público avanza lentamente en procesos normativos, los actores maliciosos evolucionan sin restricciones. No tienen ciclos presupuestales, ni acuerdos marco, ni licitaciones. Se adaptan, prueban, fallan y vuelven a atacar.
La consecuencia es clara: la brecha entre amenaza y defensa se amplía.
El Acuerdo Marco para firewall y NAC es un paso hacia el orden, pero no necesariamente hacia la resiliencia digital. Sin una apuesta decidida por innovación, Zero Trust, talento interno y arquitecturas modernas, la estandarización corre el riesgo de convertirse en una nueva forma de rezago institucional.
Desde TecnetOne, creemos que la ciberseguridad del sector público debe tratarse como un asunto estratégico de país, no solo como un problema de compras. Porque proteger la infraestructura digital del Estado no es solo una cuestión técnica; es una cuestión de confianza, estabilidad y futuro.
Ordenar es necesario. Anticiparse es indispensable.