Ciberseguridad Nacional: Un marco de referencia para la resiliencia de estados y municipios

Por: Vocería editorial del CIAPEM

El pasado miércoles 17 de diciembre de 2025, la Agencia de Transformación Digital y Telecomunicaciones (ATDT) publicó en el Diario Oficial de la Federación ACUERDO por el que se emite la Política General de Ciberseguridad para la Administración Pública Federal (APF). Este documento establece un marco integral de gobernanza, gestión de riesgos y protección de infraestructuras críticas ante un escenario donde México registró más de 324 mil millones de intentos de ciberataques en el último año. Aunque su observancia es obligatoria para el ámbito federal, su estructura y principios rectores se posicionan como el estándar técnico que los gobiernos estatales y municipales deben adoptar para garantizar la soberanía tecnológica y la protección de los derechos ciudadanos en el entorno digital.

Desde el CIAPEM, reconocemos esta política no solo como un lineamiento administrativo, sino como un habilitador de interoperabilidad y confianza interinstitucional. Para los gobiernos locales, la relevancia de este documento radica en tres pilares fundamentales:

  1. Gobernanza y lenguaje común: La política introduce un glosario y métricas estandarizadas (como RTO/RPO y modelos de madurez) que permiten a los municipios alinear sus estrategias locales con la visión nacional. Esto facilita que un ayuntamiento y una secretaría federal puedan colaborar bajo los mismos parámetros técnicos ante una crisis.
  2. Gestión de riesgos como prioridad: Se transita de un enfoque puramente reactivo a uno de «Ciberseguridad por diseño». Para el ámbito municipal, donde los recursos son limitados, adoptar la metodología de gestión dinámica del riesgo propuesta permite priorizar inversiones en los activos más críticos, como los sistemas de catastro, registro civil y servicios de emergencia.
  3. Resiliencia operativa: La obligatoriedad de contar con planes de continuidad operativa (PCO) y recuperación ante desastres (DRP) es una lección vital para los estados. La interrupción de un servicio público digital no es solo una falla técnica, es una vulneración al derecho de acceso a la información y trámites de la población.

Esta política se alinea con el Plan Nacional de Desarrollo 2025-2030 y estándares internacionales como ISO/IEC 27001 y NIST. Para los gobiernos locales, esta armonización simplifica la adopción de buenas prácticas, ya que la ATDT fungirá como un eje rector que proveerá guías técnicas y protocolos de respuesta que pueden ser replicados a nivel estatal para fortalecer el federalismo digital.

Recomendaciones estratégicas para actores públicos y sociales

Desde el CIAPEM, proponemos las siguientes líneas de acción:

  • A los gobiernos estatales: Iniciar procesos de armonización de sus leyes de gobierno digital con los principios de esta política, especialmente en lo referente a la protección de infraestructura crítica.
  • A los municipios: Adoptar el catálogo de controles mínimos de seguridad sugerido, adaptándolo a su nivel de madurez institucional.
  • Al sector privado y academia: Colaborar en la formación de talento especializado (CSIRTs locales) para cerrar la brecha de capacidades técnicas mencionada en el Eje Estratégico 7 del documento.

La ciberseguridad es una responsabilidad compartida. Este nuevo marco federal es la brújula que necesitábamos para navegar hacia una transformación digital segura, inclusiva y resiliente en todo México.

🔍 Análisis técnico del documento que contiene la Política General de Ciberseguridad para la Administración Pública Federal

Puntos clave que los tomadores de decisiones deben considerar:

  • Alcance y excepciones: La política aplica a toda la APF, exceptuando a SEDENA, SEMAR y el CNI en temas de seguridad nacional, lo que delimita claramente la ciberseguridad civil de la militar.
  • Estructura de gobernanza: Se crea la figura del responsable institucional de ciberseguridad (RIC), quien debe ser distinto al titular de la unidad de tecnologías (UTIC) para evitar conflictos de interés y asegurar una supervisión efectiva.
  • Ejes estratégicos destacados:
    • Identidad y Zero Trust: Se impulsa el modelo de «nunca confiar, siempre verificar» y el uso obligatorio de Múltiple Factor de Autenticación (MFA);
    • Cadena de suministro: Se establecen criterios de ciberseguridad para la adquisición de bienes y servicios, incluyendo el derecho a auditar (Right-to-audit) a proveedores;
  • Mecanismos de protección: Se enfatiza el endurecimiento de sistemas (hardening), el cifrado de datos en tránsito y reposo, y la implementación de soluciones avanzadas como EDR/XDR;
  • Actualización: El documento tiene un mecanismo de mejora continua con revisiones obligatorias cada 2 años, lo que garantiza su relevancia ante la evolución de las amenazas.

Documentos 

ACUERDO por el que se emite la Política General de Ciberseguridad para la Administración Pública Federal

Política General de Ciberseguridad para la Administración Pública Federal