Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Informe OEA-BID 2025: México Falla en Ejecutar su Ciberseguridad

Escrito por Adan Cuevas | Dec 22, 2025 5:10:58 PM

Si sigues de cerca el panorama digital en México, sabes que la ciberseguridad se ha vuelto un tema recurrente en discursos oficiales, planes nacionales y presentaciones institucionales. Sin embargo, una cosa es hablar de seguridad digital y otra muy distinta es poder sostenerla frente a un entorno de amenazas que no da tregua. El nuevo 2025 Cybersecurity Report de la OEA y el BID pone el dedo en la llaga: México está atrapado entre buenas intenciones, iniciativas mal planteadas y una ejecución prácticamente inexistente.

Desde TecnetOne, creemos que este informe no solo es un diagnóstico regional, sino un espejo incómodo que refleja una realidad que muchos prefieren ignorar.

 

La ciberseguridad ya no es opcional (aunque se trate como si lo fuera)

 

Hoy la ciberseguridad es un pilar estructural del desarrollo económico, la estabilidad institucional y la soberanía digital. No es un complemento tecnológico ni un tema exclusivo de áreas de TI. Afecta a finanzas, salud, energía, educación, justicia y seguridad nacional.

El informe elaborado por la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) deja claro que, aunque América Latina ha avanzado en discurso, la región sigue siendo altamente vulnerable. Y dentro de ese contexto, México destaca por una contradicción constante: visibilidad pública creciente, pero capacidades reales muy limitadas.

 

México: entre estrategias ambiciosas y resultados pobres

 

El reporte reconoce acciones que, en el papel, suenan bien. Se mencionan:

 

  1. La Estrategia Nacional de Ciberseguridad de 2017

  2. La creación de la Agencia de Transformación Digital y Telecomunicaciones (ATDT) en 2025

  3. La inclusión del tema en el Plan Nacional de Desarrollo

  4. La adopción voluntaria de marcos como NIST y la ISO/IEC 27001

  5. La operación del CERT-MX bajo la Guardia Nacional

  6. La participación en foros y alianzas internacionales

 

Si solo leyeras esa lista, podrías pensar que México avanza de forma sólida. Pero el problema no está en lo que se anuncia, sino en lo que realmente funciona cuando ocurre un incidente.

 

 

Las cifras que desmontan el discurso

 

El propio contexto que analiza la OEA-BID obliga a aterrizar la narrativa. México sigue siendo uno de los países más atacados del mundo.

Solo en 2024 se registraron cientos de miles de millones de intentos de intrusión, y en 2025 el ritmo no ha bajado. Hablamos de ataques que ocurren varias veces por segundo, de forma constante y automatizada.

Ransomware, phishing, robo de credenciales, filtraciones masivas y ataques a infraestructura crítica no son escenarios hipotéticos. Son eventos recurrentes. Y, sin embargo, la capacidad institucional para responder sigue siendo reactiva, fragmentada y lenta.

 

Un ecosistema criminal más avanzado que el Estado

 

Mientras las instituciones públicas avanzan a paso burocrático, los grupos criminales no esperan. Hoy operan con:

 

  1. Modelos de ransomware como servicio

  2. Infraestructura global distribuida

  3. Automatización avanzada

  4. Inteligencia artificial para fraudes, phishing y evasión

  5. Colaboraciones transnacionales

 

Frente a eso, México responde con campañas de concientización aisladas, ejercicios de simulación ocasionales y estructuras que dependen de presupuestos limitados y personal insuficiente.

El informe no lo dice de forma directa, pero el mensaje es claro: el Estado va varios pasos detrás del adversario.

 

Posicionamiento internacional: un lugar incómodo

 

En índices globales como el Global Cybersecurity Index de la UIT, México aparece en posiciones intermedias. No está en el fondo, pero tampoco cerca de los líderes.

Eso refleja una realidad incómoda: hay marcos normativos y discursos alineados con estándares internacionales, pero faltan capacidades técnicas, recursos humanos, intercambio de inteligencia y coordinación real.

En una región donde los ataques crecen más rápido que la madurez institucional, esa posición intermedia no es neutral: es riesgosa.

 

El gran elefante en la habitación: la inversión

 

Uno de los puntos más críticos que deja entrever el reporte es la subinversión crónica en ciberseguridad. Se habla de alianzas público-privadas y apoyo a PyMEs, pero la realidad es que:

 

  1. Muchas organizaciones no saben cuánto invertir ni cómo priorizar

  2. No existen métricas claras de impacto

  3. El déficit de talento especializado es estructural

  4. Los salarios y condiciones del sector público no compiten con el privado

 

El resultado es un círculo vicioso: planes ambiciosos sin recursos suficientes para ejecutarlos.

 

Instituciones que existen pero no alcanzan

 

La existencia del CERT-MX es necesaria, pero claramente insuficiente. Los incidentes de alto impacto de los últimos años han dejado al descubierto carencias en:

 

  1. Análisis forense digital

  2. Capacitación del sistema judicial

  3. Protección integral de infraestructuras críticas

  4. Coordinación entre niveles de gobierno

  5. Continuidad entre administraciones

 

Cada sexenio reinicia prioridades, reestructura organismos y vuelve a “diagnosticar” el problema, mientras los atacantes no hacen pausas políticas.

 

Conoce más: Coatlicue: La Supercomputadora que Revela El Atraso Digital de México

 

El verdadero problema: la brecha entre plan y realidad

 

Desde una lectura crítica, el mayor valor del informe OEA-BID no está en enumerar iniciativas, sino en evidenciar una verdad incómoda: el problema de México no es la falta de estrategias, sino la incapacidad de ejecutarlas de forma sostenida.

Hay una distancia enorme entre:

 

  1. Adoptar un marco internacional y aplicarlo

  2. Crear una agencia y dotarla de poder real

  3. Hablar de coordinación y ejercerla

  4. Reconocer el riesgo y financiar su mitigación

 

Mientras esa brecha exista, cualquier documento será solo papel bien redactado.

 

Qué tendría que cambiar de verdad

 

Cerrar esa distancia exige decisiones incómodas, no solo comunicados. Entre ellas:

 

  1. Incrementar de forma sustancial y sostenida el presupuesto en ciberseguridad

  2. Ejecutar con rigor (no solo anunciar) el Plan Nacional de Ciberseguridad 2025–2030

  3. Profesionalizar y retener talento especializado

  4. Integrar al sector privado de forma estructural, no simbólica

  5. Fortalecer mecanismos de supervisión, auditoría y sanción

  6. Tratar la ciberseguridad como política de Estado, no como proyecto sexenal

 

En TecnetOne insistimos en algo clave: la ciberseguridad no es un gasto ni un trámite, es una condición básica para que el país funcione en el entorno digital actual.

 

Conclusión: la oportunidad sigue ahí, pero no será eterna

 

México tiene una oportunidad real de transformar su alta exposición en una ventaja estratégica. Diagnósticos como el de la OEA-BID ofrecen claridad, comparativos y advertencias muy concretas.

Pero si esos diagnósticos no se traducen en acciones sostenidas, la brecha entre discurso y realidad seguirá creciendo. Y en un ciberespacio cada vez más hostil, la inacción no es neutral: tiene costos acumulativos, económicos, sociales y políticos.

La pregunta ya no es si México necesita fortalecer su ciberseguridad. La pregunta es si está dispuesto a hacerlo más allá del papel.
Ver post completo