¿La Política APF aplica solo a gobierno o también a proveedores privados?

El Acuerdo DOF establece observancia obligatoria para dependencias, órganos desconcentrados y entidades de la APF. El impacto en el sector privado es inmediato para proveedores de servicios tecnológicos al gobierno federal, quienes serán evaluados bajo los criterios de la política. Adicionalmente, la Política anticipa la promulgación de una Ley General de Ciberseguridad que extendería obligaciones a sectores críticos como financiero, energía, telecomunicaciones y salud.

Plan Nacional de Ciberseguridad 2025-2030: guía APF

Q: ¿Qué es el Responsable Institucional de Ciberseguridad (RIC) y por qué debe ser distinto al titular de TI?

El RIC es la figura designada por cada dependencia para coordinar la aplicación interna de la Política General de Ciberseguridad y servir de enlace técnico con la ATDT. La política establece explícitamente que debe ser una persona distinta al titular de la Unidad de Tecnologías de la Información y Comunicaciones (UTIC), con el fin de evitar conflictos de interés y garantizar una supervisión efectiva e independiente de la seguridad.

Q: ¿Qué pasa si una dependencia no designó a su Titular Institucional en el plazo de 60 días?

El plazo de 60 días naturales para designar formalmente al Titular Institucional en Materia de Ciberseguridad y su Auxiliar venció el 17 de febrero de 2026. Las dependencias que no hayan cumplido este requisito quedan en una posición de incumplimiento administrativo formal frente a la ATDT, lo que puede impactar en futuras auditorías y evaluaciones de madurez.

Q: ¿Cómo debe reportarse un incidente crítico al CSIRT Nacional-APF?

La Política establece que los incidentes críticos deben notificarse en menos de 24 horas a partir de su detección al CSIRT Nacional-APF. La ATDT habilitará una plataforma de comunicación entre la DGCiber y los responsables institucionales para este fin. Los lineamientos técnicos detallados serán publicados antes del 15 de junio de 2026.

Q: ¿Qué es el CSOC Nacional Federado y qué implica para las dependencias?

El Centro Nacional de Operaciones de Ciberseguridad (CSOC Nacional Federado) es una capacidad de monitoreo 24/7 que la ATDT implementará a nivel federal. Sus funciones incluyen correlación de eventos, alertamiento, caza de amenazas y emisión de boletines de contención. Las dependencias deberán contar con telemetría propia organizada para responder a las directivas que emita este centro.

Q: ¿Qué significa Zero Trust en el contexto de la Política APF?

La Política General de Ciberseguridad para la APF se alinea con el modelo Zero Trust (NIST SP 800-207), que establece que ningún usuario, dispositivo o red debe considerarse confiable por defecto. En términos operativos implica: autenticación fuerte, control de tráfico por identidad, segmentación por aplicación, inspección de tráfico cifrado y visibilidad consolidada de eventos.

Banner del Plan Nacional de Ciberseguridad 2025–2030 en México, con estatus DOF 17 dic 2025, plazo 60 días vencido y lineamientos junio 2026, QMA Zero Trust

DOF 17/12/2025 Obligatorio APF Plazo 60 días: vencido Lineamientos: junio 2026 324 mil millones de intentos en 2024 ISO 27001 · NIST · Zero Trust

Qué necesita saber en 2 minutos

El 17 de diciembre de 2025, la Agencia de Transformación Digital y Telecomunicaciones (ATDT) publicó en el Diario Oficial de la Federación el Acuerdo por el que se emite la Política General de Ciberseguridad para la Administración Pública Federal. A partir del 18 de diciembre la política es obligatoria. Esto es lo que toda dependencia, entidad y proveedor de tecnología debe tener claro:

¿Qué es? La primera política de ciberseguridad obligatoria para toda la APF, con plazos, responsables y mecanismos de auditoría definidos por ley.
¿A quién aplica? A todas las dependencias, órganos desconcentrados y entidades de la APF, excepto SEDENA, SEMAR y CNI en materias de seguridad nacional.
¿Qué cambia? La ciberseguridad deja de ser guía voluntaria y se convierte en obligación administrativa sujeta a auditorías de la DGCiber / ATDT.
Plazo 60 días — vencido el 17 de febrero de 2026: cada dependencia debió designar formalmente a su Titular Institucional en Ciberseguridad (TIC) y su Auxiliar, con notificación escrita a la ATDT.
Plazo 180 días — vence ~15 de junio de 2026: la ATDT publicará lineamientos técnicos, criterios de cumplimiento y formatos oficiales de implementación.
Nueva figura clave: el Responsable Institucional de Ciberseguridad (RIC), que debe ser distinto al titular del área de TI para evitar conflictos de interés.
Incidentes críticos: deben reportarse al CSIRT Nacional-APF en menos de 24 horas desde su detección.
Marco de referencia: la política se alinea con ISO/IEC 27001, NIST SP 800-207 (Zero Trust) y el Plan Nacional de Desarrollo 2025-2030.
Contexto: México registró más de 324 mil millones de intentos de ciberataques en 2024, según el Fortinet Global Threat Landscape Report 2025, citado por la propia ATDT.
Siguiente hito: lineamientos técnicos y formatos oficiales, antes del 15 de junio de 2026.

Plazos críticos: lo que ya venció y lo que viene

La Política General de Ciberseguridad APF fija dos plazos desde su entrada en vigor el 18 de diciembre de 2025. El primero ya venció. El segundo determina el estándar técnico bajo el que operará toda la APF.

Fecha	Evento	Responsable	Estado
4 dic 2025	Presentación pública del Plan Nacional de Ciberseguridad 2025-2030	ATDT / DGCiber	Completado
17 dic 2025	Publicación en DOF de la Política General de Ciberseguridad APF	ATDT	Completado
18 dic 2025	Entrada en vigor. Inicio de cómputo de plazos.	Todas las dependencias APF	Completado
17 feb 2026	Plazo 60 días: designación formal del TIC y su Auxiliar, con notificación escrita a la ATDT.	Dependencias y entidades APF	Vencido
~15 jun 2026	Plazo 180 días: la ATDT publicará lineamientos técnicos, criterios de cumplimiento y formatos oficiales.	ATDT	Pendiente
2026–2030	Auditorías de cumplimiento, CSOC Nacional Federado, CSIRT Nacional-APF, evaluaciones de madurez.	DGCiber / ATDT	En curso

Nota: La fecha ~15 de junio de 2026 es aproximada, calculada a 180 días naturales desde el 18 de diciembre de 2025. Fuente: DOF 17/12/2025, Artículo Tercero Transitorio.

¿Qué es el Plan Nacional de Ciberseguridad 2025-2030?

El Plan Nacional de Ciberseguridad es la primera política especializada en ciberseguridad en México, elaborada por la ATDT y la Dirección General de Ciberseguridad con apoyo del Banco Interamericano de Desarrollo. Su objetivo: consolidar al país como referente regional en ciberresiliencia y establecer un marco común obligatorio para toda la APF.

El contexto es claro: México registra en promedio cuatro ciberataques por segundo y aparece en el Índice Global de Ciberseguridad 2024 como nación “Tier 2 Avanzado”, con un aumento de más del 70% en incidentes y campañas maliciosas en los últimos años. El Plan responde a ese escenario con un instrumento de 85 páginas estructurado en ejes estratégicos, capacidades operativas y una hoja de ruta hasta 2030.

Marco federal homogéneo

Lineamientos obligatorios para la APF, criterios de cumplimiento y formatos oficiales que unifican la ciberseguridad en todas las dependencias bajo una misma autoridad rectora: la ATDT.

Capacidades operativas nacionales

Consejo Nacional de Ciberseguridad, CSOC Nacional Federado, CSIRT Nacional-APF, inventario de infraestructura crítica y programa de evaluación de vulnerabilidades a nivel federal.

Ley General de Ciberseguridad

El Plan contempla presentar ante el Congreso la primera Ley General de Ciberseguridad, con sistema de sanciones y enfoque en capacitación de funcionarios. Pendiente de envío al Congreso.

Reporte de incidentes sistematizado

Esquema formal de notificación de vulnerabilidades e incidentes, con la regla de reportar incidentes críticos en menos de 24 horas al CSIRT Nacional-APF.

Ejes estratégicos del Plan

El Plan articula cuatro ejes que estructuran las obligaciones, capacidades y metas hasta 2030. Cada eje tiene implicaciones operativas directas para dependencias y proveedores tecnológicos.

1. Gobernanza

Creación del Consejo Nacional de Ciberseguridad. Definición de políticas y lineamientos comunes para la APF. Red de coordinación entre gobierno, industria y academia. La ATDT como autoridad rectora única.

2. Infraestructura crítica

Inventario nacional de infraestructura crítica. Programas de evaluación de vulnerabilidades y madurez por dependencia. Priorización de activos de alto impacto para el país.

3. Operación 24/7

Implementación del CSOC Nacional Federado. Creación del CSIRT gubernamental para la APF. Sistemas de alerta temprana, protocolos de notificación y playbooks para escenarios como ransomware y DDoS.

4. Talento y cultura

Profesionalización de equipos públicos. Programas de capacitación y colaboración con academia. Métricas de cultura de ciberseguridad y concientización como parte del marco obligatorio.

Hoja de ruta 2025-2030: tres etapas

El Plan se estructura en tres etapas con fechas y entregables definidos. La Etapa 1 ya está en marcha. Las organizaciones que se alineen ahora llegan mejor posicionadas a las auditorías de 2026-2027.

Etapa 1 (2025-2026): Fundamentos y marco federal

Política General de Ciberseguridad publicada en DOF — vigente desde el 18 de diciembre de 2025.
Designación de Titulares Institucionales (TIC) y Responsables (RIC) en cada dependencia.
Sistemas de alerta temprana y notificación de vulnerabilidades.
Adhesión formal de México a LAC4 y esquemas regionales.
Presentación al Congreso de la Estrategia Nacional de Ciberseguridad y la Ley General de Ciberseguridad.
Arranque del inventario de infraestructura crítica y evaluaciones de vulnerabilidad por dependencia.
Publicación de lineamientos técnicos y formatos oficiales por la ATDT (plazo: ~15 de junio de 2026).

Etapa 2 (2027-2028): Gestión de riesgos y simulacros

Consolidación de la gestión de riesgos en todo el ámbito federal.
Simulacros anuales de ciberincidentes y entrenamiento avanzado por dependencia.
Segunda fase del CSOC y del CSIRT, con mayor capacidad operativa y cobertura.
Integración de herramientas de Inteligencia Artificial para detección avanzada y correlación masiva de eventos.

Etapa 3 (2029-2030): Automatización y certificación

Ventanilla Única de Información en Ciberseguridad.
Observatorio de Ciberseguridad de la APF con métricas públicas.
Certificación nacional de ciberseguridad y estrategia de exportación de servicios.
Operación automatizada 24/7 con revisiones periódicas de la estrategia cada dos años.

El Mundial 2026 actúa como acelerador: se anticipa un incremento significativo de ataques geopolíticos y de alto impacto contra México durante ese periodo, lo que eleva la urgencia de la Etapa 1.

¿A quién impacta realmente este Plan?

Aunque el foco inicial es la Administración Pública Federal, el impacto se extiende de forma inmediata a cuatro grupos adicionales:

Sector financiero

Bancos, aseguradoras y fintechs ya regulados por CNBV y Banxico enfrentarán mayor armonización de controles y expectativa de demostrar alineación al marco APF en auditorías de terceros.

Operadores de infraestructura crítica

Energía, transporte, telecomunicaciones, salud y agua. El inventario nacional de infraestructura crítica los identificará y evaluará. La Ley General de Ciberseguridad extenderá obligaciones a este sector.

Proveedores tecnológicos del gobierno

Empresas que prestan servicios TI, cloud, seguridad o telecomunicaciones a dependencias federales serán evaluadas bajo los criterios de la política en procesos de contratación y auditorías de cadena de suministro.

Sector privado regulado

Cualquier organización en sectores donde la ciberseguridad se vuelve requisito contractual o regulatorio. Alinearse ahora al marco APF da ventaja ante la Ley General de Ciberseguridad antes de que sea obligatoria.

Nota de balance: el Plan ha recibido críticas fundadas de especialistas: llega tarde frente a la evolución de las amenazas, carece de detalles claros de presupuesto y puede quedar en el papel si no se cierra la brecha de talento y no se aplican sanciones efectivas. Estas observaciones no invalidan el marco, pero sí subrayan que el cambio real depende de la agenda de cumplimiento de cada organización, no solo del texto publicado.

De la política al control: cómo aterriza en su organización

El Plan define ejes estratégicos pero no prescribe controles técnicos específicos para el sector privado. Esta tabla traduce cada eje a controles operativos, evidencia que los auditores y la ATDT esperarán ver, y el servicio QMA que cubre esa brecha.

Eje del Plan	Control operativo requerido	Evidencia auditable	Servicio QMA
Gobernanza y marco normativo	Designación del RIC. Plan Institucional de Ciberseguridad aprobado por titular.	Nombramiento notificado a ATDT. Plan firmado con metas.	GRC
Infraestructura crítica y VM	Inventario de activos actualizado. Escaneo continuo de vulnerabilidades. Priorización por exposición real.	Reportes de escaneo periódico. Registro de remediación. Mapa de activos críticos.	Riesgos y Vulnerabilidades (VM)
Operación 24/7 (CSOC / CSIRT)	Monitoreo continuo de eventos. Triage de incidentes. Reporte al CSIRT Nacional-APF en menos de 24 horas.	Logs de alertas y cierres. Tiempos de detección. Historial de notificaciones.	MDR 24/7 y SOC · SIEM/SOAR
Identidad y acceso (Zero Trust)	Autenticación fuerte (MFA). Control por identidad, no por red. PAM. ZTNA a aplicaciones.	Políticas de acceso documentadas. Registros de sesiones privilegiadas. Alertas de acceso anómalo.	IAM/PAM · QMA Zero Trust
Protección de datos y tráfico (SASE/DLP)	Inspección de tráfico web (SWG). Control de shadow IT (CASB). Prevención de fuga (DLP).	Logs de tráfico inspeccionado. Políticas DLP activas. Reportes de shadow IT.	iboss Zero Trust SASE
Respuesta a incidentes	Playbooks para ransomware, DDoS y fuga. Simulacros periódicos. Contención con tiempos definidos.	Playbooks firmados y vigentes. Registro de simulacros. Post-mortems documentados.	Respuesta a Incidentes (IR)
Talento y riesgo humano	Programa continuo de concientización. Simulaciones de phishing. Métricas de riesgo por área.	Registros de capacitación. Resultados de simulaciones. Dashboards de riesgo humano.	Security Awareness · Kymatio
Cumplimiento normativo (ISO/NIST)	Alineación con ISO/IEC 27001 y NIST. Gestión de riesgos documentada. Auditorías internas periódicas.	Declaración de aplicabilidad (SoA). Registro de tratamiento de riesgos. Informes de auditoría.	GRC · ISO 27001

Hoja de ruta de 90 días para alinear su organización

Para que el Plan Nacional no sea un documento lejano, proponemos seis movimientos concretos que la mayoría de organizaciones pueden ejecutar en 90 días:

Diagnóstico 360° de ciberresiliencia

Revisión de madurez en identidad, red, endpoints, datos y factor humano. Mapeo contra Zero Trust y los pilares del Plan: inventario, respuesta y formación.

Mapa de activos e infraestructura crítica

Identificación de sistemas críticos, dependencias y puntos únicos de falla. Priorización de activos de alto impacto para el negocio y para auditores.

Estrategia Zero Trust y SASE

Definición de la arquitectura objetivo: acceso por aplicación, inspección SSL, CASB/DLP y protección contra amenazas avanzadas con iboss Zero Trust SASE.

Gestión de vulnerabilidades y exposición

Implementación o fortalecimiento de capacidades con Tenable One. Integración de escaneos con procesos de cambio, desarrollo y operación.

Capacitación y riesgo humano

Campañas de concientización y simulaciones de ataques. Métricas de riesgo humano para priorizar acciones y demostrar avance ante auditores.

Simulacro de incidente y preparación 2026

Al menos un table-top o simulacro técnico de incidente mayor. Revisión de roles, tiempos de respuesta y comunicación interna y externa.

Preguntas frecuentes

¿Qué es el Responsable Institucional de Ciberseguridad (RIC) y por qué debe ser distinto al titular de TI?

El RIC coordina la aplicación interna de la Política y sirve de enlace técnico con la ATDT. La política establece que debe ser distinto al titular de la UTIC para evitar conflictos de interés. Elabora el Plan Institucional de Ciberseguridad, coordina su ejecución, reporta incidentes y promueve la mejora continua.

¿Qué pasa si una dependencia no designó a su Titular Institucional en el plazo de 60 días?

El plazo venció el 17 de febrero de 2026. Las dependencias que no cumplieron quedan en incumplimiento administrativo formal frente a la ATDT, con impacto en futuras auditorías y evaluaciones de madurez. El primer paso es regularizar la designación con fecha documentada.

¿Cómo debe reportarse un incidente crítico al CSIRT Nacional-APF?

Los incidentes críticos deben notificarse en menos de 24 horas desde su detección. La ATDT habilitará una plataforma de comunicación para este fin. Mientras se publican los lineamientos técnicos (~junio 2026), las dependencias deben tener ya un proceso interno de clasificación de severidad y protocolo de escalación documentado.

¿Qué es el CSOC Nacional Federado y qué implica para las dependencias?

Es un centro de monitoreo 24/7 que la ATDT implementará a nivel federal, con correlación de eventos, alertamiento, threat hunting y emisión de directivas de contención. No reemplaza la necesidad de un SOC o MDR propio: las dependencias deben tener telemetría organizada para responder a las directivas del CSOC Nacional.

¿Qué significa Zero Trust en el contexto de la Política APF?

La política se alinea con NIST SP 800-207 (Zero Trust): ningún usuario, dispositivo o red es confiable por defecto. En términos operativos: autenticación fuerte, control por identidad no por red, segmentación por aplicación, inspección de tráfico cifrado y visibilidad consolidada de eventos. Las organizaciones que aún dependen de VPN como control principal enfrentan una brecha técnica clara.

¿La Política APF aplica solo al gobierno o también a proveedores privados?

El Acuerdo DOF establece observancia obligatoria para dependencias y entidades de la APF. El impacto en sector privado es inmediato para proveedores de servicios tecnológicos al gobierno, que serán evaluados bajo los criterios de la política en contrataciones y auditorías de terceros. La futura Ley General de Ciberseguridad extenderá obligaciones formales al sector financiero, energía, telecomunicaciones y salud.

¿Su organización está lista para junio de 2026?

El Plan Nacional de Ciberseguridad 2025-2030 ya es obligatorio para la APF y definirá presupuestos, auditorías y contratos para todo el ecosistema digital mexicano. La diferencia estará en qué tan pronto decida alinear su estrategia interna.

En QMA Zero Trust ayudamos a organizaciones del sector público y privado a convertir este marco en controles operativos concretos: menos superficie de ataque, evidencia auditable y posición sólida frente a reguladores y consejo directivo.

Solicitar evaluación
Ver marco Zero Trust
Ver GRC y Cumplimiento

Fuentes y referencias oficiales

Este artículo se basa en documentos primarios del Gobierno de México. Acceda directamente a las fuentes:

DOF — Acuerdo Política General de Ciberseguridad APF

Publicación oficial del 17 de diciembre de 2025. Contiene el texto completo del Acuerdo emitido por la ATDT, los artículos transitorios y los plazos de implementación.

Ver en Diario Oficial de la Federación

Plan Nacional de Ciberseguridad 2025-2030 (PDF, 85 pp.)

Documento completo elaborado por la ATDT y la Dirección General de Ciberseguridad. Incluye ejes estratégicos, hoja de ruta, capacidades operativas y métricas nacionales.

Descargar Plan Nacional (gob.mx)

Política General de Ciberseguridad APF (PDF oficial)

Texto íntegro de la Política publicada por la ATDT, disponible en el repositorio oficial de archivos de la Agencia de Transformación Digital y Telecomunicaciones.

Descargar Política APF (atdt.gob.mx)

ATDT — Agencia de Transformación Digital y Telecomunicaciones

Autoridad rectora de la ciberseguridad en la APF. Portal oficial con comunicados, lineamientos publicados y actualizaciones del Plan Nacional.

Portal ATDT (gob.mx)

Última verificación de enlaces: febrero 2026. Si algún documento oficial cambia de ubicación, consulte directamente gob.mx/atdt. Autoría: QMA Research.