El Gobierno de México ha dado un paso significativo en la protección de su ciberespacio al formalizar la Política General de Ciberseguridad para la Administración Pública Federal (APF). La publicación de esta política en el Diario Oficial de la Federación (DOF) marca no solo el inicio de una etapa de cumplimiento normativo, sino un compromiso sólido hacia la transformación digital segura.
Este acuerdo, formalizado por José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), establece un marco regulador para garantizar la seguridad de la información y comunicaciones dentro del sector público. Dicha política fue anticipada el 4 de diciembre de 2025 durante la presentación del Plan Nacional de Ciberseguridad 2025-2030, lo que demuestra una continuidad en los esfuerzos del gobierno por robustecer sus defensas cibernéticas.
En cuanto a la implementación, se define a la Dirección General de Ciberseguridad como la entidad encargada de supervisar el desarrollo de estrategias y acciones, así como de llevar a cabo evaluaciones y auditorías en las dependencias federales. La política también establece un cronograma claro: en un máximo de 180 días, la ATDT deberá publicar lineamientos técnicos, mientras que las entidades gubernamentales tienen 60 días para designar formalmente a un Titular Institucional en Materia de Ciberseguridad.
La política se aplica a la mayoría de las dependencias y entidades de la APF, excluyendo a la Secretaría de la Defensa Nacional, la Secretaría de Marina y el Centro Nacional de Inteligencia en lo que respecta a temas de seguridad nacional. Cada institución deberá nombrar un Responsable Institucional de Ciberseguridad (RIC), quien actuará como enlace con la autoridad y será responsable de coordinar acciones y reportar incidentes.
Un cambio crucial que introduce esta política es la transición de un enfoque de “defensa fragmentada” a una arquitectura federal cohesionada. Se estructurará en ocho ejes estratégicos, que van desde la gobernanza y gestión de riesgos hasta la identidad y cadena de suministro. La adopción de metodologías como Zero Trust y autenticación multifactor promoverá una defensa más robusta contra amenazas cibernéticas.
La respuesta a incidentes se enfocará en la creación de un CSIRT Nacional-APF, que deberá establecer protocolos de reporte y contención, y un CSOC Nacional Federado, diseñado para funcionar 24/7.De acuerdo con la política, los incidentes críticos deberán ser reportados en menos de 24 horas, garantizando así una rápida reacción ante emergencias.
Con esta política, el plan de ciberseguridad del gobierno mexicana deja de ser una simple hoja de ruta y se convierte en una obligación administrativa concreta, con plazos claros y responsables asignados. La implementación de esta estrategia será un desafío, especialmente en lo que respecta a demostrar el cumplimiento durante las auditorías federales.
En este contexto, la capacidad de cada entidad para adoptar y cumplir con los lineamientos establecidos será esencial para el éxito del plan. El compromiso del gobierno con la ciberseguridad se pone a prueba en esta nueva fase, marcando un antes y un después en la seguridad digital del país, y posicionando a México en la carrera global hacia la protección de sus ciberinfraestructuras.
Esta nota contiene información de varias fuentes en cooperación con dichos medios de comunicación
