Seguridad Operada
con Evidencia
Ciberseguridad para Gobierno Federal en México
Protección 24/7 con evidencia auditable para servicios críticos, datos y continuidad.
Operación segura y cumplimiento de la nueva Política General de Ciberseguridad para la APF
Las instituciones federales de México enfrentan un momento crítico. Entre 2022 y 2025, la ATDT identificó 16 incidentes críticos de ciberseguridad en dependencias federales y al menos 750 vulnerabilidades dentro de instituciones del gobierno federal solo en 2025. México es la segunda nación en Latinoamérica con más víctimas publicadas en la dark web, con 155 casos registrados en el periodo reciente.
Al mismo tiempo, el marco regulatorio está cambiando rápidamente. En diciembre de 2025 se publicó la Política General de Ciberseguridad para la Administración Pública Federal (DOF, 17-dic-2025), que establece medidas obligatorias, designación de titulares institucionales de ciberseguridad y reportes de incidencias. El Plan Nacional de Ciberseguridad 2025-2030 proyecta la creación de un CSOC Nacional, un CSIRT para la APF y una futura Ley General de Ciberseguridad.
En QMA, como MSSP miembro de MSPAlliance desde 2011, ayudamos a dependencias y entidades a cerrar la brecha entre las nuevas obligaciones y la capacidad operativa real. Nuestro modelo genera evidencia auditable desde la operación diaria, sin depender de ejercicios de cumplimiento de último momento. QMA Zero Trust integra segmentación, control de acceso y monitoreo continuo dentro de una arquitectura que protege servicios ciudadanos, datos sensibles e infraestructura crítica.
Panorama de amenazas: gobierno federal bajo presión
- Incidentes de alto impacto recurrentes: desde los Guacamaya Leaks (6 TB de SEDENA en 2022) hasta el incidente Chronus de enero 2026 que afectó a 25 organismos públicos, pasando por el ransomware a PEMEX (2019) y las intrusiones a CONAGUA, SICT y plataformas estatales. El patrón muestra vulnerabilidades estructurales no corregidas. Crisis24
- México, epicentro LATAM: más de 40 mil millones de intentos de ataque en el primer semestre de 2025; 55% de los incidentes de LATAM se concentran en México. El costo del cibercrimen en el país se proyecta en USD $105 mil millones para 2025. Mexico Business News
- Actores sofisticados: grupos de ransomware organizados, actores patrocinados por estados (China, Rusia, Corea del Norte representan 77% de actividad de phishing rastreada), hacktivistas y —especialmente en México— organizaciones del crimen organizado que colaboran con cibercriminales para extorsión y espionaje. Mordor Intelligence
- Phishing como vector dominante: las campañas de phishing y robo de credenciales siguen siendo el punto de entrada principal en instituciones públicas. La ingeniería social se potencia con IA generativa (deepfakes, phishing hiperpersonalizado).
- Brecha de talento severa: según el Índice de Ciberseguridad 2025 de Cisco, solo el 2% de las empresas en México alcanzan la calificación de madurez en ciberseguridad. La escasez de profesionales especializados es particularmente aguda en el sector público.
- Datos ciudadanos en riesgo: filtraciones recientes incluyen padrones, expedientes clínicos, registros fiscales y datos del Registro Civil. La centralización de servicios bajo el dominio gob.mx amplía el impacto de una sola intrusión exitosa.
Nuevo marco regulatorio: lo que las dependencias deben cumplir
El panorama regulatorio de ciberseguridad para el gobierno federal está evolucionando aceleradamente. QMA ayuda a las instituciones a entender las obligaciones y a implementar los controles técnicos y operativos que las satisfacen.Política General de Ciberseguridad APF
Publicada en el DOF el 17 de diciembre de 2025. Establece medidas obligatorias para todas las dependencias y entidades de la APF. Exige la designación de un Titular Institucional de Ciberseguridad (60 días) y lineamientos técnicos de cumplimiento (180 días). La DGCiber de la ATDT vigila su cumplimiento y puede realizar evaluaciones y auditorías.Normas y estándares aplicables
ISO 27001, NIST CSF, MAAGTICSI, NOM-151 (conservación de documentos electrónicos, si aplica) y los lineamientos que la DGCiber emitirá como parte de la implementación de la Política APF.Plan Nacional de Ciberseguridad 2025-2030
Presentado por la ATDT en diciembre de 2025. Contempla la creación del CSOC Nacional, CSIRT para la APF, una Academia Virtual de ciberseguridad, Cyber Range y la futura Ley General de Ciberseguridad con sistema de sanciones. Reconoce 16 incidentes críticos entre 2022-2025 y 155 ataques de ransomware entre 2019-2025.LFPDPPP y Protección de Datos
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establecen obligaciones sobre avisos de privacidad, medidas de seguridad, evaluaciones de impacto y notificación de incidentes.
Referencia normativa 2025–2030
Plan Nacional de Ciberseguridad: guía operativa APF
Plazos críticos, figura del RIC, ejes estratégicos y controles con evidencia auditable antes de junio 2026.
Plazo 60 días: vencido
Leer guía completa
Superficie de ataque en gobierno federal
Las dependencias federales operan ecosistemas tecnológicos complejos con múltiples puntos de exposición. La consolidación bajo el dominio gob.mx y la digitalización de trámites amplían la superficie sin que la seguridad crezca al mismo ritmo.
Portales y Servicios Ciudadanos
Plataformas de trámites, consultas, pagos y servicios digitales expuestos a internet. Blancos frecuentes de defacement, DDoS, inyección SQL y suplantación. Cada portal comprometido erosiona la confianza ciudadana.
Bases de Datos de Ciudadanos
Padrones, registros fiscales, expedientes clínicos, datos del Registro Civil y sistemas de beneficiarios. La exfiltración de estos datos genera riesgos de identidad, fraude fiscal y extorsión para millones de personas.
Infraestructura Crítica
Sistemas de energía (PEMEX, CFE), agua (CONAGUA), transporte, telecomunicaciones y salud. Muchos operan con tecnología OT legacy conectada a redes IT, creando vectores de ataque similares a los de manufactura.
Correo Electrónico y Comunicaciones
Phishing dirigido a funcionarios, BEC, suplantación de dominio y campañas potenciadas con IA generativa. El correo es el vector de entrada número uno en instituciones públicas.
Servicios MSSP para gobierno federal
Cada servicio opera dentro del modelo MSSP de QMA, que convierte la operación diaria en evidencia verificable bajo los dominios de Expertise, Trust, Security, Resilience y Transparency del estándar UCS de MSPAlliance. La evidencia generada puede soportar auditorías de la DGCiber, la ASF y órganos de control interno.
MDR 24/7 y SOC
Detección y respuesta gestionada con correlación SIEM. Cobertura 24/7/365 para dependencias que no cuentan con SOC interno. Clasificación de alertas alineada a MITRE ATT&CK, threat hunting enfocado en actores que atacan gobierno, y reducción de ruido superior a 85%. MTTD menor a 15 minutos para incidentes críticos.
Identidad y Acceso (IAM/PAM)
Control de accesos privilegiados para administradores de sistemas, bases de datos y plataformas ciudadanas. MFA resistente a phishing, sesiones grabadas, aprobación dual para cambios críticos. Gestión de accesos de proveedores externos y contratistas con mínimo privilegio y trazabilidad completa.
Riesgos y Vulnerabilidades (VM)
Escaneo continuo de portales, aplicaciones internas, APIs y infraestructura. Priorización con CISA KEV y EPSS para cerrar primero lo que tiene mayor probabilidad de explotación activa. La ATDT detectó 750 vulnerabilidades en dependencias en 2025; el programa de VM busca reducir ese inventario de forma sostenida.
Respuesta a Incidentes (IR)
Playbooks específicos para gobierno: contención de ransomware en redes federales, aislamiento de sistemas comprometidos, preservación forense de evidencia, y coordinación con la DGCiber y autoridades competentes. Protocolos de comunicación pública y notificación a ciudadanos afectados.
Monitoreo de Seguridad (SIEM/SOAR)
Correlación de eventos de red, endpoints, nube, aplicaciones y accesos. Automatización de respuestas con playbooks SOAR para contención rápida. Reportes y dashboards que documentan el estado de seguridad en tiempo real para los titulares institucionales de ciberseguridad que exige la nueva Política APF.
Gobernanza, Riesgo y Cumplimiento (GRC)
Alineación a la Política General de Ciberseguridad APF, MAAGTICSI, ISO 27001, NIST CSF y los lineamientos que la DGCiber emitirá. Análisis de brechas, mapeo de controles, preparación de evidencia para auditorías ASF y evaluaciones de la ATDT.
Capas de protección complementarias
Firewall como Servicio (FWaaS)
Segmentación de redes federales, control de tráfico entre dependencias, protección de DMZ y microsegmentación para aislar sistemas críticos. Políticas uniformes para oficinas centrales y delegaciones distribuidas.
Security Awareness
Concientización y simulación de phishing para servidores públicos en todos los niveles. Capacitación alineada a los requerimientos del Plan Nacional de Ciberseguridad. Métricas de progreso y reportes para demostrar cumplimiento ante la DGCiber.
Recuperación de Desastres
Planes de continuidad operativa para mantener servicios ciudadanos durante y después de un incidente. Failover, respaldos verificados y tiempos de recuperación definidos para plataformas críticas de gobierno.
Observabilidad
Monitoreo de rendimiento de aplicaciones ciudadanas, portales de trámites y sistemas internos. Detección de degradación antes de que impacte al usuario. Correlación con eventos de seguridad para distinguir un ataque DDoS de un pico legítimo de tráfico.
Zero Trust para redes federales
La arquitectura Zero Trust de QMA se adapta al contexto del gobierno federal,
donde la movilidad de funcionarios, las redes distribuidas entre delegaciones, la integración con proveedores externos
y la exposición de servicios ciudadanos a internet exigen un modelo que no dependa del perímetro tradicional.
Verificación continua de identidad
Cada acceso se valida por identidad, postura del dispositivo y contexto. Los accesos de servidores públicos,
contratistas y proveedores se gestionan con IAM/PAM
bajo mínimo privilegio. La consolidación de servicios bajo gob.mx hace que la verificación de identidad sea aún más crítica.
Segmentación y microsegmentación
Aislamos sistemas según criticidad: plataformas ciudadanas, bases de datos personales, infraestructura crítica y redes
administrativas operan en segmentos separados con controles de acceso granulares. Un compromiso en un portal no debería
dar acceso a bases de datos sensibles.
Inspección de tráfico cifrado
Visibilidad del tráfico SSL/TLS para detectar amenazas que se ocultan en canales cifrados. SWG, CASB y DLP dentro de una
arquitectura SASE que protege funcionarios dentro y fuera de las oficinas.
Acceso remoto sin VPN legacy
Reemplazamos VPNs tradicionales con acceso condicional que no expone la red completa. Los funcionarios en trabajo remoto y
delegaciones estatales acceden solo a los recursos que necesitan, con sesión registrada y revocable.
Control operativo → evidencia auditable para gobierno federal
La nueva Política General de Ciberseguridad APF exige controles, reportes de incidencias y evaluaciones. Cada control que QMA opera genera documentación verificable que soporta estas obligaciones.
| Control operativo | Evidencia generada | Aplica a |
|---|---|---|
| Monitoreo 24/7 con correlación SIEM | Logs de detección, tiempos de respuesta (MTTD/MTTR), reportes de incidentes clasificados | Política APF · MAAGTICSI · ISO 27001 (A.12) |
| Segmentación de redes y microsegmentación | Diagramas de red, reglas de firewall documentadas, pruebas de aislamiento entre segmentos | Política APF · NIST CSF (PR) · ISO 27001 (A.13) |
| Control de accesos privilegiados (IAM/PAM) | Bitácora de accesos, sesiones grabadas, revisiones periódicas, cambios con aprobación dual | Política APF · MAAGTICSI · ISO 27001 (A.9) |
| Gestión de vulnerabilidades (escaneo continuo) | Reportes de escaneo, tracking de remediación, priorización KEV/EPSS, tendencia de cierre | Política APF · NIST CSF (ID) · ISO 27001 (A.12.6) |
| Respuesta a incidentes y análisis forense | RCA documentado, timeline de contención, preservación de evidencia, notificación a DGCiber | Política APF · NIST CSF (RS) · ISO 27001 (A.16) |
| Protección de datos personales (DLP) | Reglas DLP activas, intentos de exfiltración bloqueados, clasificación de datos sensibles | LFPDPPP · LGPDPPSO · Política APF |
| Concientización y simulación de phishing | Métricas de participación, tasas de click, progreso trimestral por dependencia | Plan Nacional Ciberseguridad · Política APF |
Este enfoque está alineado al marco MSSP de QMA, que convierte la operación diaria en evidencia verificable bajo los cinco dominios del estándar UCS de MSPAlliance: Expertise, Trust, Security, Resilience y Transparency.
Por qué dependencias federales eligen a QMA
Operación MSSP pura — no reventa de licencias. QMA opera como MSSP especializado alineado al estándar UCS de MSPAlliance desde 2011. No vendemos cajas: gestionamos la seguridad con equipo propio, procesos documentados y evidencia auditable. Para dependencias que no pueden construir un SOC interno (la brecha de talento en sector público es severa), somos la extensión operativa de su capacidad de ciberseguridad.
Evidencia lista para la nueva Política APF. Cada control que operamos genera la documentación que la DGCiber exigirá en evaluaciones y auditorías. No es un ejercicio de cumplimiento separado: es el subproducto natural de la operación diaria. Los titulares institucionales de ciberseguridad tendrán reportes y dashboards listos.
Experiencia en contexto de gobierno. Entendemos las restricciones del sector público: ciclos presupuestales, procesos de adquisición, rotación de funcionarios, y la necesidad de mantener servicios ciudadanos activos durante migraciones y cambios. Nuestro modelo se adapta a estas realidades.
Zero Trust sin disrupciones. Implementamos segmentación, control de acceso e inspección de tráfico respetando los tiempos y restricciones de operación de las dependencias. No forzamos migración masiva: avanzamos por fases con validación en cada etapa.
