Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Plan de Ciberseguridad 2025–2030: Ambición Sin Estrategia Real

Escrito por Adan Cuevas | Dec 8, 2025 4:42:44 PM

La nueva Agencia de Transformación Digital y Telecomunicaciones (ATDT) presentó esta semana el Plan Nacional de Ciberseguridad 2025–2030, un documento de 85 páginas que, al menos en papel, promete convertir a México en un referente regional en protección digital. Habla de un “ecosistema seguro”, de gobernanza avanzada y hasta presume el respaldo técnico del BID. La presentación fue impecable: discursos afinados, una portada institucional atractiva y una narrativa lista para titulares optimistas.

Pero cuando lo lees con calma, ves algo muy distinto: un plan ambicioso pero vacío, lleno de buenas intenciones, pero sin los elementos básicos que lo vuelvan ejecutable. Y en un país que sufre más de 40 mil millones de intentos de ciberataque solo en lo que va del año, quedarte corto no es una opción: es un riesgo para todos.

En TecnetOne te contamos por qué este plan, tal como está, no funcionará.

 

Un plan a cinco años para un problema que exige respuestas ya

 

Algo que salta a la vista de inmediato es que el plan se proyecta hasta el año 2030. Puede sonar razonable en términos burocráticos, pero es absolutamente insuficiente ante la velocidad con la que avanza la amenaza en México.

Hoy enfrentamos cuatro ciberataques por segundo. Cada mes se publican en la dark web víctimas mexicanas nuevas; cada semana un sector distinto se convierte en objetivo; cada día hay un nuevo incidente en alguna dependencia federal.

Hablar de resultados dentro de cinco años, sin acciones inmediatas contundentes, equivale a decirle al país:

“Sabemos que está ardiendo, pero regresamos con agua en 2030”.

El propio documento reconoce cifras alarmantes:

 

  1. México es el segundo país de Latinoamérica con más víctimas de ransomware publicadas en la dark web.

  2. Solo en 2024, los ataques crecieron 78%.

  1. Siete de cada diez dependencias federales tienen vulnerabilidades críticas.

  1. Entre 2024 y 2025 hubo 237 mil intentos de ransomware contra infraestructura pública.

 

El diagnóstico es brutal, pero la respuesta no está a la altura de la urgencia.

 

Un plan sin presupuesto es solo una colección de deseos

 

La ausencia más grave del plan es también la más evidente: no hay presupuesto.

Ni una cifra. Ni un estimado. Ni un cálculo aproximado. Nada.

Y estamos hablando de metas que requieren inversión real:

 

  1. Construir el nuevo Centro Nacional de Operaciones en Ciberseguridad (CSOC).

  2. Capacitar a miles de funcionarios.

  3. Implementar un Marco Nacional de Gestión de Riesgos.

  4. Modernizar plataformas gubernamentales.

  5. Elevar los niveles mínimos de seguridad para estados y municipios.

 

En un gobierno que aplica austeridad extrema y que en 2025 volvió a recortar presupuesto a tecnología, presentar un plan sin recursos asignados equivale a confesar que no hay intención real de implementarlo. Hay ambición pero cero combustible.

 

Conoce más: ¿El Gobierno Mexicano Está Siendo Hackeado por sus Propios Empleados?

 

Metas sin ruta, sin fechas y sin responsables

 

El documento menciona “metas trimestrales” y algunas acciones iniciales para finales de 2025, pero nada más.

No hay:

 

  1. Cronogramas específicos

  2. Hitos intermedios

  3. Indicadores de avance

  4. Plazos obligatorios

  5. Mecanismos de corrección

 

Un plan sin ruta es lo mismo que un plan sin destino.

Además, no se aborda quién debe actuar cuando el ataque ocurre en una dependencia específica.

¿Quién lidera la respuesta si atacan:

 

  1. A la Secretaría de Salud?

  2. A Pemex?

  3. A un gobierno estatal?

  4. A un municipio pequeño que no tiene ni área de TI?

 

Sin claridad en la cadena de mando, la respuesta seguirá siendo improvisada, lenta y fragmentada.

 

El enemigo real no aparece en el documento

 

Quizá lo más alarmante es la omisión del actor criminal real que hoy domina buena parte de la actividad cibernética en México.

El plan menciona:

 

  1. Ransomware

  2. Inteligencia artificial generativa

  3. Amenazas globales

 

Pero evita por completo el vínculo entre cibercrimen y crimen organizado nacional.

Hoy, cárteles como el CJNG y el Cártel de Sinaloa:

 

  1. Lavan dinero con criptomonedas

  2. Contratan hackers para extorsión

  3. Distribuyen malware

  4. Usan deepfakes para fraudes telefónicos y financieros

  5. Compran accesos iniciales en la dark web

  6. Han pagado infiltraciones internas en empresas

 

Nada de esto aparece en las 85 páginas.

Tampoco hay:

 

  1. Estrategias de análisis forense financiero para blockchain

  2. Colaboración obligatoria con la Unidad de Inteligencia Financiera

  3. Mecanismos de rastreo para nodos locales de grupos como Conti o LockBit

 

El plan describe amenazas pero no menciona a quienes realmente las ejecutan en México.

 

La cadena de suministro privada: el gran vacío

 

Más de la mitad de los incidentes graves que afectan a México en el último año son ataques a infraestructura crítica privada, especialmente en:

 

  1. Manufactura

  2. Salud

  3. Retail

  4. Energía

  5. Logística

  6. Transporte

 

Pero el plan no propone:

 

  1. Requisitos mínimos de seguridad para proveedores

  2. Regulaciones para servicios esenciales privados

  3. Obligaciones específicas para hospitales o plantas industriales

  4. Auditorías de terceros

  5. Controles de software y hardware

 

En un país donde la economía depende del sector privado, ignorarlo es un error que costará caro.

 

 

Deepfakes, estafas digitales y fraudes masivos: ignorados por completo

 

Mientras México vive:

 

  1. Olas de fraudes por WhatsApp

  2. Suplantaciones con IA

  3. Extorsiones automatizadas

  4. Campañas de ingeniería social a gran escala

  5. Robo de identidad masivo

  6. Filtraciones constantes

 

El plan no incluye:

 

  1. Estrategias para combatir deepfakes

  2. Sistemas nacionales para frenar estafas digitales

  3. Mecanismos de verificación de identidad

  4. Protocolos estandarizados ante filtraciones

 

Es como diseñar un plan de seguridad para una ciudad sin hablar de delincuencia común.

 

Un excelente diagnóstico, pero cero capacidad de ejecución

 

Paradójicamente, el documento diagnostica bien la situación. El problema no es el análisis. El problema es que las soluciones son genéricas, burocráticas y sin fuerza operativa.

Es un plan que suena bien, pero que no sirve.

Es competente en lo técnico, pero inútil en lo estratégico.

Es ambicioso por fuera, pero vacío por dentro.

Difundirlo como si fuera una gran respuesta es peligroso porque crea una falsa sensación de seguridad que México no puede permitirse.

 

Conclusión: México no necesita otro PDF bonito, necesita acción inmediata

 

El Plan Nacional de Ciberseguridad 2025–2030 pudo ser un parteaguas. Pudo sentar las bases de una defensa nacional real, moderna y agresiva.

Pero sin:

 

  1. Presupuesto

  2. Responsables

  3. Cronogramas

  4. Estrategias reales

  5. Reconocimiento del adversario

 

El plan no es más que un ejercicio decorativo.

Mientras no se reconstruya desde cero, seguirá siendo una ilusión en un país que cada día pierde más terreno en la batalla digital.

No podemos darnos el lujo de improvisar cuando somos blanco de miles de ataques cada segundo.

 
Ver post completo