El Instituto de Transparencia de la Ciudad de México presentó una iniciativa que podría marcar un antes y un después en la forma en que las instituciones enfrentan las amenazas digitales. La propuesta establece que todos los sujetos obligados deberán desarrollar una estrategia de ciberseguridad integral, diseñada para proteger sus activos de información, garantizar la resiliencia ante ciberataques y reducir al mínimo tanto el riesgo como el impacto de posibles vulneraciones de datos personales.
Esta estrategia no será solo una formalidad. Deberá contemplar acciones claras, prioridades definidas y mecanismos efectivos para prevenir incidentes como hackeos, filtraciones o accesos no autorizados. En un contexto donde los fraudes en línea, el robo de identidad y los ataques de ransomware crecen a un ritmo alarmante, la Ciudad de México busca consolidar una legislación que no solo reaccione, sino que anticipe y proteja.
Presentada el pasado 26 de marzo ante el Pleno y con camino rumbo al Congreso de la CDMX, la Ley de Ciberseguridad y Protección de Datos Personales se posiciona como una respuesta urgente frente al aumento de delitos digitales. De ser aprobada, no solo establecerá obligaciones concretas para las entidades públicas y privadas, sino que también podría convertirse en el primer paso hacia una regulación federal en materia de ciberseguridad. México enfrenta una realidad en la que los ataques cibernéticos no son una posibilidad, sino una constante. Esta ley busca que por fin existan herramientas legales y operativas para hacerles frente.
¿Qué implicaciones tendrá la nueva normativa?
Si esta nueva ley se aprueba, tanto las empresas como las dependencias públicas van a tener que ponerse las pilas en serio con la ciberseguridad. El documento presentado por Info CDMX ya adelanta varias cosas que serán obligatorias. Por ejemplo:
-
Tendrán que nombrar a un responsable de ciberseguridad dentro de cada organización. Alguien que se encargue de asegurarse de que se están cumpliendo todas las reglas y protocolos.
-
Implementar estrategias de prevención. Nada de esperar a que ocurra un ataque: se van a exigir medidas claras para proteger datos y sistemas desde el principio.
-
Reportar cualquier incidente relacionado con datos personales. Si hay una filtración o una brecha de seguridad, tendrán que avisar de inmediato al Info CDMX.
-
Capacitar al personal. Tanto en oficinas de gobierno como en empresas privadas, los trabajadores deberán recibir formación básica sobre cómo protegerse (y proteger a los demás) en el entorno digital.
Además, Info CDMX dejó claro que la transparencia va a ser uno de los pilares clave de esta nueva ley. Se busca que las empresas informen cuando haya problemas con datos personales, y que las personas tengamos acceso a mecanismos reales para denunciar y protegernos.
Podría interesarte leer: Ciberataque en CDMX: Hacker Altera Páginas Oficiales del Gobierno
¿Será CDMX el ejemplo para una ley nacional?
La verdad es que, a nivel federal, México todavía le debe mucho al tema de la ciberseguridad. Aunque ha habido intentos (como aquella estrategia nacional que se lanzó en 2017 o algunas reformas al Código Penal para tipificar delitos digitales), no existe una ley general que ponga orden y defina reglas claras para todos.
La última propuesta seria fue la de la diputada Alejandra Lagunes, presentada en agosto de 2024, pero está estancada. ¿La razón? Falta de acuerdos en el Congreso. Mientras tanto, la CDMX decidió no quedarse de brazos cruzados y está avanzando por su cuenta con una iniciativa local que podría convertirse en referente para otros estados del país.
Según Laura L. Enríquez, comisionada del Info CDMX, la propuesta capitalina busca justamente llenar ese vacío legal y establecer sanciones económicas para quienes no cumplan con las normas. Eso sí, por ahora no se ha definido con claridad cómo serán esas sanciones ni de cuánto estaríamos hablando. Pero al menos ya se está hablando del tema en serio.
Un tema urgente… y complicado
Lo que sí está claro es que la urgencia es real. De acuerdo con datos recientes citados por la diputada Xóchitl Ramo Espinosa, en 2024 se registraron cerca de 200,000 incidentes cibernéticos en México. Y eso es solo lo que se reportó.
Además, el informe Estado de la Vigilancia Digital en México, publicado por la organización R3D, señala una gran falla: ni las empresas ni los gobiernos están obligados a informar cuando tienen una brecha de seguridad. Eso significa que muchas veces, si tus datos se filtran o son robados, ni te enteras.
Ahí es donde la iniciativa de la CDMX podría marcar la diferencia. Incluye la obligación de reportar cualquier incidente de seguridad y contempla sanciones si no se cumplen ciertas medidas básicas, como contar con un Sistema de Gestión de Seguridad de la Información o seguir las recomendaciones del Info CDMX.
En resumen: mientras el país sigue esperando una ley general, la Ciudad de México ya está tomando la delantera. ¿Será suficiente para que el resto del país siga el ejemplo? Eso aún está por verse, pero al menos el primer paso ya está en marcha.
