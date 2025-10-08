El estado de la ciberseguridad en México, visto sin espejos ni ránkings, revela dos planos que hoy empiezan a tocarse: por un lado, el reconocimiento explícito del gobierno de que no existe todavía una capacidad operativa de detección y respuesta uniforme frente a incidentes complejos; por el otro, un ecosistema (industria, academia y reguladores) que reclama *leyes, presupuesto y coordinación para que los datos y la infraestructura crítica no queden a merced de atacantes cada vez más automatizados.

La Agencia de Transformación Digital y Telecomunicaciones (ATDT) admitió recientemente que “no hay capacidad de respuesta a incidentes” en la Administración Pública Federal y adelantó una política general acompañada por un Centro de Operaciones de Ciberseguridad (CSOC) con intercambio federado de información.

Respuesta tardía y dependencia tecnológica

Los incidentes se detectan tarde; con frecuencia, meses después de iniciada la intrusión. En la práctica, la contención llega cuando el ataque ya dejó huella en sistemas y procesos, lo que obliga a recargarse en proveedores privados para acotar daños.

El plan gubernamental plantea una cultura de reporte hacia la agencia y guías de implementación para que la normativa no sea un mero checklist, además de un CSOC que federaría telemetría y coordinación con actores nacionales e internacionales. No se trata solo de comprar tecnología, subrayó la propia ATDT, sino de elevar la madurez operativa en todos los niveles.

Esta fotografía coincide con el análisis de Ernesto Ibarra, presidente de la Academia Mexicana de Ciberseguridad y Derecho Digital (Amcid), para quien no existe un indicador-país que mida de forma integral la madurez de ciberseguridad (federal, estatal y municipal) ni el desarrollo de talento y ecosistema; de ahí la propuesta de un índice nacional que permita orientar recursos, políticas y estándares.

En paralelo, Ibarra sitúa los siguientes pasos en una política pública federal con lineamientos obligatorios (CISO por dependencia, estrategias internas y grupos de trabajo), y un efecto de arrastre al sector privado a través de compras públicas con criterios de seguridad.

Ataques masivos, más reconocimiento y foco en manufactura

Mientras la institucionalidad madura, el volumen y la calidad de las amenazas siguen escalando. De acuerdo con Fortinet, en el primer semestre de 2025 México sufrió 40,600 millones de intentos de ciberataques, segundo lugar regional; Latinoamérica concentró 25% de las detecciones globales.

La tendencia no es solo cuantitativa. Los actores invierten en reconocimiento y escanean redes a un ritmo de 36,000 intentos por segundo; solo en México, 17,000 millones de escaneos activos entre enero y junio de 2025. Estas campañas se apoyan en herramientas con inteligencia artificial (IA) que automatizan la ruta desde la intrusión hasta la explotación.

El blanco preferido no es casual. Tanto el reporte de Fortinet como la telemetría de Kaspersky coinciden en el riesgo para la tecnología operativa (OT) y la manufactura.

Fortinet advierte que los entornos industriales dejaron de ser daño colateral de los ciberataques y hoy son objetivos primarios para interrumpir servicios y exigir rescates, con la manufactura como la vertical más atacada por segundo año consecutivo. Además se observan campañas personalizadas en telecomunicaciones, salud y servicios financieros.

En el caso de México, una radiografía de agosto de 2024 a julio de 2025 hecha por Kaspersky ubica a la industria de México como el principal objetivo del país, pues sitúa a los procesos de manufactura con 22.91% de los eventos por sector; muy por encima de gobierno (13.39%) y retail (6.16%), lo que refuerza el sesgo táctico de los atacantes hacia cadenas productivas sensibles al tiempo de detención de las operaciones.

Del malware commodity a ransomware persistente

La misma ventana de tiempo deja tres señales para México. Primero, el volumen de malware: 108 millones de detecciones (alrededor de 297,000 diarias), con adware y troyanos como categorías dominantes y presencia relevante de explotación de fallas antiguas, lo que indica una deuda en ciberhigiene básica y gestión de parches.

El segundo es el ransomware: 237,000 intentos bloqueados en el periodo, lo que mantiene al país como uno de los mercados más golpeados de la región. Mientras que los terceros son los troyanos bancarios, pues se registraron por encima de 111,000 intentos, con las familias Agent y Trickster a la cabeza. En dispositivos móviles se registraron más de 411,000 amenazas y entre estas destaca SpyLoan, el cual explota permisos abusivos en apps de préstamos.

Ciberseguros

En la gestión del riesgo, el ciberseguro opera como amortiguador financiero y, cada vez más, como catalizador de mejores prácticas.

Alfredo Careaga, director comercial de THB México, recuerda que se trata de un producto joven (10-15 años), sometido a iteraciones de coberturas y límites tras picos de siniestralidad; hoy el mercado observa primas más selectivas y una oferta que empieza a bajar al segmento de las pequeñas y medianas empresas.

Los seguros contra incidentes de ciberseguridad suelen cubrir la interrupción del negocio; la extorsión por ransomware (incluida la negociación); la responsabilidad por datos de terceros y, en menor medida, daños físicos a activos.

Este tipo de seguros normalmente compensa ingresos perdidos, financia la remediación y empuja a retomar operaciones con rapidez. El incentivo económico (retorno a la actividad) explica por qué, en la práctica, muchas pólizas priorizan la recuperación operativa por encima de litigios largos y transfronterizos.

De acuerdo con Careaga, como ha ocurrido en otros ramos, los requisitos de para obtener uno de estos seguros (respaldo probado, respuesta a incidentes, segmentación) terminan funcionando como una política pública indirecta que eleva el piso de seguridad en cadenas de suministro enteras.

En ciberseguridad, detectar antes es la diferencia entre un incidente caro y una crisis nacional. La admisión de capacidades limitadas y la agitación legislativa no son señales de debilidad; son puntos de partida. De su convergencia, en presupuestos, personas y prácticas, depende que el próximo incidente se mida en minutos de interrupción y no en meses de silencio.

