El Plan Nacional de Ciberseguridad 2025-2030: cómo aterrizarlo en tu organización en México

(Actualizado Enero 9, 2026)

El 4 de diciembre de 2025, el Gobierno de México presentó el Plan Nacional de Ciberseguridad 2025–2030, elaborado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) y la Dirección General de Ciberseguridad, con apoyo del Banco Interamericano de Desarrollo.

La primera política integral en la materia para el país, va más allá del anuncio, este plan marca un antes y un después para dependencias públicas, instituciones financieras, empresas reguladas y operadores de infraestructura crítica.

Pocos días después, el 17 de diciembre de 2025, se publicó en el Diario Oficial de la Federación la Política General de Ciberseguridad para la Administración Pública Federal (APF). Con este acuerdo, la ATDT asume formalmente la vigilancia de la nueva política y obliga a las dependencias federales a designar responsables, cumplir plazos y prepararse para auditorías.

El contexto no es menor: México registra en promedio cuatro ciberataques por segundo, según cifras recientes citadas en medios nacionales, lo que coloca al país como un blanco prioritario del crimen digital.

Al mismo tiempo, distintos análisis –incluyendo notas de Reforma y otros portales especializados– han advertido vacíos estratégicos, falta de claridad presupuestal y riesgo de que el Plan se quede en el papel si no se acompaña de recursos, talento y mecanismos de cumplimiento efectivos.

Desde QMA Zero Trust, la lectura es clara:

este plan no es solo “tema de gobierno”, sino una hoja de ruta que va a moldear presupuestos, auditorías, regulaciones y expectativas de ciberresiliencia para todo el ecosistema digital mexicano.

Al mismo tiempo, distintos análisis –incluyendo notas de Reforma y otros portales especializados– han advertido vacíos estratégicos, falta de claridad presupuestal y riesgo de que el Plan se quede en el papel si no se acompaña de recursos, talento y mecanismos de cumplimiento efectivos.

En QMA Zero Trust vemos este escenario como una oportunidad de adelantarse: usar el Plan como marco de referencia, pero aterrizando controles concretos basados en Zero Trust, SASE y gestión de exposición, tanto en sector público como privado.

¿Qué es el Plan Nacional de Ciberseguridad 2025-2030?

En los últimos años, México se ha convertido en un blanco prioritario del crimen digital. Reportes recientes señalan decenas de miles de millones de intentos de ciberataques en un solo semestre, en un entorno con clara escasez de especialistas en ciberseguridad.

Además, el país aparece en el Índice Global de Ciberseguridad 2024 como nación “Tier 2 Avanzado”. Aun así, esto no ha evitado un aumento de más del 70 % en incidentes y campañas maliciosas, de acuerdo con fuentes del propio gobierno y de la industria.

De acuerdo con la Agencia de Transformación Digital y Telecomunicaciones (ATDT), el Plan Nacional de Ciberseguridad es la primera política especializada en ciberseguridad en México, pensada para consolidar al país como referente regional en ciberresiliencia.

El plan:

• • Establece un marco federal homogéneo de ciberseguridad con lineamientos obligatorios para la Administración Pública Federal (APF).

• • Prevê capacitaciones sistemáticas a servidores públicos y un esquema de reporte de incidentes y vulnerabilidades.

• • Incluye:
    • • La Estrategia Nacional de Ciberseguridad.
    • • La primera Ley General de Ciberseguridad, a presentar ante el Congreso.

• • Crea capacidades operativas:
    • • Consejo Nacional de Ciberseguridad, bajo la rectoría de la ATDT.
    • • Centro Nacional de Operaciones de Ciberseguridad (CSOC/CNSOC).
    • • Centro Nacional de Respuesta a Incidentes (CSIRT) para la APF.
    • • Inventario de Infraestructura Crítica y Programa de Evaluación de Vulnerabilidades a nivel federal.

El Plan se alinea con la realidad del país: México se encuentra hoy entre los más atacados en Latinoamérica en materia de ransomware y ciberataques dirigidos, con especial impacto en gobierno y sector financiero.

Qué propone el Plan Nacional de Ciberseguridad 2025–2030

De acuerdo con las comunicaciones oficiales y el propio documento del Plan, se trata de un instrumento estratégico de 85 páginas cuyo objetivo es guiar a la APF hacia un ecosistema digital más seguro y confiable.

Ejes Estratégicos

Distintas fuentes coinciden en cuatro grandes ejes:

1. Gobernanza

   • Creación del Consejo Nacional de Ciberseguridad.

   • Red de contactos con gobierno, industria y academia.

   • Definición de políticas y lineamientos comunes para la APF.

2. Infraestructura crítica

   • Inventario nacional de infraestructura crítica.

   • Programas de evaluación de vulnerabilidades y madurez por dependencia.

3. Operación

   • Implementación de un Centro Nacional de Operaciones de Ciberseguridad (CSOC).

   • Creación de un CSIRT gubernamental para la APF.

   • Sistemas de alerta temprana y protocolos de notificación de vulnerabilidades.

4. Talento

   • Profesionalización de equipos públicos.

   • Programas de capacitación y colaboración con academia.La hoja de ruta 2025-2030: tres etapas clave

Hoja de ruta en tres etapas

El Plan se estructura en tres etapas hasta 2030, cada una con implicaciones directas para tu organización.

Etapa 1 (2025-2026): Fundamentos y marco federal

• • Construcción de un marco federal de ciberseguridad para unificar criterios entre dependencias.

• • Publicación de la Política General de Ciberseguridad (prevista a corto plazo).

• • Implementación de:
    • • Sistemas de alerta temprana y notificación de vulnerabilidades.
    • • Adhesión formal de México a esquemas regionales como LAC4.
    • • Presentación de la Estrategia Nacional de Ciberseguridad.

• • Envío al Congreso de la Ley General de Ciberseguridad, con sistema de sanciones y enfoque fuerte en capacitación de funcionarios.

• • Arranque del inventario de infraestructura crítica y evaluaciones de vulnerabilidad para homologar niveles de madurez entre secretarías y organismos.

Etapa 2 (2027-2028): Gestión de riesgos y simulacros

• • Consolidación de la gestión de riesgos en todo el ámbito federal.

• • Simulacros anuales de ciberincidentes y entrenamiento avanzado.

• • Segunda fase del CSOC y del CSIRT, con mayor capacidad operativa.

• • Integración de herramientas de Inteligencia Artificial para la protección de activos de gobierno (detección avanzada, automatización, correlación masiva de eventos).

Etapa 3 (2029-2030): Automatización y certificación

• • Creación de una Ventanilla Única de Información en Ciberseguridad.

• • Puesta en marcha de un Observatorio de la APF en materia de ciberseguridad.

• • Estrategia de exportación de servicios y una certificación nacional de ciberseguridad.

• • Operación automatizada 24/7 de los sistemas nacionales, con revisiones periódicas de la estrategia al menos cada dos años.

Todo esto se diseña, además, con el Mundial 2026 en el horizonte, donde se anticipa un incremento significativo de ataques geopolíticos y de alto impacto contra México.

Lo nuevo: política obligatoria, ataques en aumento y críticas abiertas

Desde la primera publicación de este artículo, han ocurrido tres hechos relevantes que vale la pena subrayar.

La Política General de Ciberseguridad ya es obligatoria

Con su publicación en el DOF, la Política General de Ciberseguridad para la APF deja de ser un anuncio y se convierte en instrumento normativo vinculante. La ATDT queda facultada para:

• Definir protocolos de seguridad de información y comunicaciones.

• Emitir instrumentos normativos y operativos aplicables al gobierno federal.

• Dar seguimiento a metas, realizar evaluaciones y auditar dependencias y entidades.

En términos prácticos, esto implica que las instituciones federales deberán designar responsables, elaborar planes internos y demostrar cumplimiento, algo que eventualmente se trasladará como exigencia a proveedores y socios tecnológicos.

Cuatro ciberataques por segundo

Por otra parte, análisis recientes señalan que México enfrenta alrededor de cuatro ciberataques por segundo, cifra que ilustra la presión real sobre gobiernos y empresas.

Este volumen de amenazas convierte al Plan en algo más que un documento de política pública: es, potencialmente, el marco que definirá presupuestos, prioridades y auditorías durante los próximos años.

Vacíos señalados por especialistas

No todo son aplausos. Distintos artículos de opinión han advertido que el Plan:

• Llega tarde frente a la evolución de las amenazas.

• Carece de detalles claros de presupuesto y mecanismos de ejecución.

• Puede quedarse en el papel si no se cierra la brecha de talento, no se armonizan marcos legales y no se aplican sanciones efectivas.

Estas críticas no invalidan el Plan, pero recuerdan que el verdadero cambio ocurrirá sólo si las organizaciones –públicas y privadas– asumen su propia agenda de ciberresiliencia.

¿A quién impacta realmente este Plan?

Aunque el foco inicial es la Administración Pública Federal, el impacto se extiende a:

• • Organismos reguladores y entidades de supervisión.

• • Sector financiero, por su exposición histórica a ataques y su rol sistémico.

• • Operadores de infraestructura crítica (energía, transporte, telecomunicaciones, salud, etc.).

• • Empresas privadas que:
    • • Proveen servicios al gobierno.
    • • Forman parte de cadenas de suministro de alto riesgo.
    • • Operan en sectores regulados donde la ciberseguridad se vuelve requisito contractual y regulatorio.

En la práctica, este Plan va a acelerar:

• • Nuevas cláusulas de ciberseguridad en contratos.

• • Auditorías más profundas en gestión de vulnerabilidades, protección de datos, continuidad y respuesta a incidentes.

• • Exigencia de marcos de referencia serios, como Zero Trust, NIST y SASE, como estándar de facto.

Cómo conectar el Plan Nacional con tu estrategia Zero Trust

En QMA Zero Trust llevamos años ayudando a organizaciones mexicanas a implementar arquitecturas alineadas con marcos como NIST Zero Trust y SASE en la nube mediante soluciones como iboss, Tenable One, Microsoft, así como servicios de consultoría y seguridad gestionada.

A continuación, aterrizamos el Plan en cinco líneas de acción concretas para tu organización y cómo podemos acompañarte.

Marco Zero Trust para gobierno y sector público

El Plan contempla unificar criterios y elevar el nivel de madurez en toda la APF.

En la práctica, esto implica:

• • Autenticación fuerte y administración de identidad y acceso moderna.

• • Control de tráfico hacia Internet con SWG, CASB y DLP en la nube.

• • Segmentación por aplicaciones y no por redes físicas.

• • Visibilidad consolidada de eventos para cumplir lineamientos y auditorías.

Desde QMA, esto se traduce en:

• • Zero Trust por diseño, apoyado en nuestro marco QMA Zero Trust.

• • Integración de iboss Zero Trust SASE, incluyendo capacidades avanzadas como AI CASB, DLP y protección frente a phishing e IA generativa.

• • Acompañamiento específico para entidades del Gobierno Federal.

Inventario de infraestructura crítica y gestión de vulnerabilidades

El inventario de infraestructura crítica y el programa de evaluación de vulnerabilidades son piezas centrales del Plan.

Para las organizaciones mexicanas esto significa:

• • Tener mapas claros de activos (on-prem, nube, OT, entornos híbridos).

• • Implementar exposure management continuo, priorizando riesgos por impacto real de negocio.

• • Prepararse para auditorías que pidan evidencia objetiva, no solo políticas en papel.

Nuestra propuesta:

• • Uso de plataformas como Tenable One para gestionar vulnerabilidades, configuraciones y exposición de forma unificada.

• • Refuerzo con servicios de Seguridad de Datos, Aplicaciones y Terminales.

• • Acompañamiento consultivo a través de nuestros Servicios Profesionales de Consultoría y Ciberseguridad.

CSIRT, CSOC y visibilidad 24/7

El Plan impulsa la creación de un CSOC nacional y un CSIRT para la APF, con operación 24/7 antes de 2030.

A nivel organizacional:

• • Necesitarás telemetría consolidada: red, endpoints, identidades, aplicaciones, nubes.

• • Integración con soluciones SIEM / SOAR y con plataformas SASE para correlación avanzada.

• • Playbooks claros de respuesta a incidentes, alineados con marcos nacionales.

QMA aporta:

• • Integraciones de iboss Zero Trust SASE con SIEM corporativos, como se describe en nuestro artículo sobre integración SIEM en segundos.

• • Diseño de arquitecturas de monitoreo y respuesta, apoyadas en Microsoft, iboss y otros socios estratégicos.

Ley General de Ciberseguridad y cumplimiento

La futura Ley General de Ciberseguridad buscará consolidar en un solo instrumento la gestión y sanciones en la materia.

Si ya estás bajo marcos como CNBV, Banxico, UIF, ISO 27001 o PCI DSS, la tendencia será:

• • Mayor armonización de controles (por ejemplo, Zero Trust como modelo de referencia).

• • Requerimientos explícitos de detección temprana y notificación de incidentes.

• • Expectativa de que tus proveedores críticos, incluidos los de nube y seguridad, estén alineados con esta Ley.

Aquí nuestra propuesta se apoya en:

• • Servicios de consultoría en ciberseguridad para traducir requerimientos regulatorios en planes concretos de control.

• • Alineación con marcos como NIST Zero Trust en iboss, que facilitan demostrar consistencia técnica frente a auditores.

Factor humano, cultura y “firewalls humanos”

El Plan enfatiza que la ciberseguridad es responsabilidad compartida entre gobierno, industria y academia.

Para cualquier organización, esto se traduce en:

• • Programas continuos de concientización y formación.

• • Métricas sobre riesgo humano (phishing, fuga accidental, abuso de privilegios).

• • Integración del factor humano en la gestión de incidentes (detección, reporte, contención).

En QMA lo abordamos con:

• • Soluciones de Security Awareness.

• • Plataformas especializadas como Kymatio – Gestión de Riesgo Humano, que permiten medir y reducir el riesgo asociado a las personas.

Además, hemos desarrollado contenido específico como el whitepaper “Asegurando la Fuerza Laboral Digital de México con Zero Trust”, disponible para descarga desde nuestro sitio, donde se profundiza en cómo combinar Zero Trust, SASE y gestión del riesgo humano para el contexto mexicano.

Propuesta QMA: hoja de ruta de 90 días para alinear tu organización al Plan

Para que este Plan Nacional no se quede en un documento lejano, proponemos una hoja de ruta de 90 días que muchas organizaciones pueden seguir:

• Diagnóstico 360° de Ciberresiliencia

• • Revisión de madurez en identidad, red, endpoints, datos y factor humano.

• • Mapeo contra Zero Trust y los pilares del Plan (inventario, respuesta, formación).

2. Mapa de activos e infraestructura crítica

• • Identificación de sistemas críticos, dependencias y puntos únicos de falla.

• • Priorización de activos de alto impacto para el negocio y reguladores.

3. Estrategia Zero Trust y SASE

• • Definición de la arquitectura objetivo: acceso por aplicación, inspección SSL, CASB/DLP, protección contra amenazas avanzadas.

• • Evaluación de escenarios con iboss Zero Trust SASE y otros socios estratégicos.

4. Plan de gestión de vulnerabilidades y exposición

• • Implementación o fortalecimiento de capacidades con soluciones como Tenable One.

• • Integración de escaneos con procesos de cambio, desarrollo y operación.

5. Plan de capacitación y riesgo humano

• • Lanzamiento de campañas de concientización y simulaciones de ataques.

• • Uso de métricas de riesgo humano para priorizar acciones y demostrar avance.

6. Simulacro de incidente y preparación rumbo a 2026

• • Ejecución de al menos un table-top o simulacro técnico de incidente mayor.

• • Revisión de roles, tiempos de respuesta, comunicación interna y externa.

Si estás en gobierno federal, sector financiero, infraestructura crítica o eres un proveedor tecnológico relevante en México, el Plan Nacional de Ciberseguridad 2025-2030 va a marcar tu agenda sí o sí. La diferencia estará en qué tan pronto decidas alinear tu estrategia interna a esta nueva realidad.

En QMA Zero Trust podemos ayudarte a convertir este plan en una ventaja competitiva:

menos superficie de ataque, mayor cumplimiento y una narrativa sólida frente a reguladores, clientes y consejo directivo.