Lectura 4:00 min
Ciberseguridad: la confianza que México todavía no regula

Opinión
- La nueva Ley de Ciberseguridad puede convertirse en el marco operacional que cierre los vacíos donde hoy prospera el fraude digital.
Durante 2025, los adultos mexicanos enfrentaron una estafa cada cuatro días en promedio —86 intentos por persona al año—, según el Reporte del Estado de las Estafas en México. Más de tres de cada cuatro fueron blanco de al menos un intento, cerca de seis de cada diez fueron víctimas y más de un tercio perdió dinero.
Detrás de esas cifras se acumula una pérdida que el propio estudio estima en 139 mil millones de pesos. El dato decisivo, sin embargo, no es cuántos ataques hay, sino el vacío que los hace posibles: no se reporta, no se regula y casi nadie sabe con precisión dónde están las brechas.
Frente a ese diagnóstico, México tiene una oportunidad histórica. Puede construir una Ley de Ciberseguridad que funcione como marco operacional real —gestión de riesgos, respuesta a incidentes y confianza en el ecosistema digital— y no como un catálogo de requisitos por cumplir.
Las Mesas de Trabajo convocadas por la Agencia de Transformación Digital y Telecomunicaciones, con la cooperación técnica alemana (GIZ), dejaron ver algo decisivo. El sector financiero lleva años trabajando estos temas. El sector público, las telecomunicaciones y las plataformas digitales apenas transitan hacia ahí. Esa asimetría es, en sí misma, un riesgo sistémico.
La ley que se discute descansa en tres pilares. El primero son las obligaciones mínimas que habilitan al ecosistema: un responsable de ciberseguridad, la gestión estructurada de riesgos y el registro obligatorio de incidentes mediante reportes confidenciales y anonimizados. El segundo es la claridad radical para definir y reportar incidentes. El tercero, el más urgente, es tratar la cadena de suministro como responsabilidad regulatoria: hoy es el vacío más peligroso.
Hay una razón todavía más profunda para actuar de forma coordinada. El fraude digital opera como una cadena —un Fraud Kill Chain— con tres eslabones: iniciación, con reconocimiento, phishing y suplantación de identidad; ejecución, con el compromiso de cuentas y las transferencias; y extracción, con el lavado a través de cuentas mula y criptoactivos.
Cada sector ve solo un tramo. Las telecomunicaciones y las plataformas detectan la iniciación. Los bancos observan la ejecución y la extracción. Cuando esa información no se comparte, una alerta detectada en la extracción nunca regresa a bloquear el vector de ataque en la iniciación. La cadena prospera precisamente porque la defensa está fragmentada.
Por eso la ciberseguridad y la prevención del fraude necesitan operar juntas. Una brecha de seguridad es también un vector de fraude. Un incidente de inteligencia artificial generativa —un deepfake, un clonador de voz— es al mismo tiempo un riesgo cibernético y un arma de estafa. La ley debe reconocerlo de forma explícita en sus protocolos de reporte, gobernanza y coordinación.
Ahí está el verdadero salto: dejar atrás los silos regulatorios y construir un ecosistema de inteligencia compartida, donde la señal que un actor detecta se vuelve la defensa de todos.
La confianza operacional se construye con reglas claras, información que fluye y actores que se coordinan. La ley que México escriba hoy es la que protegerá a sus ciudadanos mañana.
*La autora es Directora del Capítulo México de la Global Anti-Scam Alliance (GASA), alianza internacional público-privada dedicada a proteger a los consumidores frente a las estafas digitales.