- diciembre 4, 2025
- 11:01 pm
Última actualización: marzo 2026
Nota clave: El Plan presentado en diciembre de 2025 fue aterrizado por la Política General de Ciberseguridad para la APF, que ya organiza la implementación en 8 ejes estratégicos y fija plazos obligatorios para dependencias y entidades.
Qué necesita saber en 2 minutos
El 17 de diciembre de 2025, la Agencia de Transformación Digital y Telecomunicaciones (ATDT) publicó en el Diario Oficial de la Federación el Acuerdo por el que se emite la Política General de Ciberseguridad para la Administración Pública Federal. A partir del 18 de diciembre la política es obligatoria. Esto es lo que toda dependencia, entidad y proveedor de tecnología debe tener claro:
- ¿Qué es? La primera política de ciberseguridad obligatoria para toda la APF, con plazos, responsables y mecanismos de auditoría definidos por ley.
- ¿A quién aplica? A todas las dependencias, órganos desconcentrados y entidades de la APF, excepto SEDENA, SEMAR y CNI en materias de seguridad nacional.
- ¿Qué cambia? La ciberseguridad deja de ser guía voluntaria y se convierte en obligación administrativa sujeta a auditorías de la DGCiber / ATDT.
- Plazo 60 días — vencido el 17 de febrero de 2026: cada dependencia debió designar formalmente a su Titular Institucional en Ciberseguridad (TIC) y su Auxiliar, con notificación escrita a la ATDT.
- Plazo 180 días — vence ~15 de junio de 2026: la ATDT publicará lineamientos técnicos, criterios de cumplimiento y formatos oficiales de implementación.
- Nueva figura clave: el Responsable Institucional de Ciberseguridad (RIC), que debe ser distinto al titular del área de TI para evitar conflictos de interés.
- Incidentes críticos: deben reportarse al CSIRT Nacional-APF en menos de 24 horas desde su detección.
- Marco de referencia: la política se alinea con ISO/IEC 27001, NIST SP 800-207 (Zero Trust) y el Plan Nacional de Desarrollo 2025-2030.
- Contexto: México registró más de 324 mil millones de intentos de ciberataques en 2024, según el Fortinet Global Threat Landscape Report 2025, citado por la propia ATDT.
- Siguiente hito: lineamientos técnicos y formatos oficiales, antes del 15 de junio de 2026.
Plazos críticos: lo que ya venció y lo que viene
La Política General de Ciberseguridad APF fija dos plazos desde su entrada en vigor el 18 de diciembre de 2025. El primero ya venció. El segundo determina el estándar técnico bajo el que operará toda la APF.
| Fecha | Evento | Responsable | Estado |
|---|---|---|---|
| 4 dic 2025 | Presentación pública del Plan Nacional de Ciberseguridad 2025-2030 | ATDT / DGCiber | Completado |
| 17 dic 2025 | Publicación en DOF de la Política General de Ciberseguridad APF | ATDT | Completado |
| 18 dic 2025 | Entrada en vigor. Inicio de cómputo de plazos. | Todas las dependencias APF | Completado |
| 17 feb 2026 | Plazo 60 días: designación formal del TIC y su Auxiliar, con notificación escrita a la ATDT. | Dependencias y entidades APF | Vencido |
| ~15 jun 2026 | Plazo 180 días: la ATDT publicará lineamientos técnicos, criterios de cumplimiento y formatos oficiales. | ATDT | Pendiente |
| 2026–2030 | Auditorías de cumplimiento, CSOC Nacional Federado, CSIRT Nacional-APF, evaluaciones de madurez. | DGCiber / ATDT | En curso |
Nota: La fecha ~15 de junio de 2026 es aproximada, calculada a 180 días naturales desde el 18 de diciembre de 2025. Fuente: DOF 17/12/2025, Artículo Tercero Transitorio.
¿Qué es el Plan Nacional de Ciberseguridad 2025-2030?
El Plan Nacional de Ciberseguridad es la primera política especializada en ciberseguridad en México, elaborada por la ATDT y la Dirección General de Ciberseguridad con apoyo del Banco Interamericano de Desarrollo. Su objetivo: consolidar al país como referente regional en ciberresiliencia y establecer un marco común obligatorio para toda la APF.
El contexto es claro: México registra en promedio cuatro ciberataques por segundo y aparece en el Índice Global de Ciberseguridad 2024 como nación “Tier 2 Avanzado”, con un aumento de más del 70% en incidentes y campañas maliciosas en los últimos años. El Plan responde a ese escenario con un instrumento de 85 páginas estructurado en ejes estratégicos, capacidades operativas y una hoja de ruta hasta 2030.
Marco federal homogéneo
Lineamientos obligatorios para la APF, criterios de cumplimiento y formatos oficiales que unifican la ciberseguridad en todas las dependencias bajo una misma autoridad rectora: la ATDT.
Capacidades operativas nacionales
Consejo Nacional de Ciberseguridad, CSOC Nacional Federado, CSIRT Nacional-APF, inventario de infraestructura crítica y programa de evaluación de vulnerabilidades a nivel federal.
Ley General de Ciberseguridad
El Plan contempla presentar ante el Congreso la primera Ley General de Ciberseguridad, con sistema de sanciones y enfoque en capacitación de funcionarios. Pendiente de envío al Congreso.
Reporte de incidentes sistematizado
Esquema formal de notificación de vulnerabilidades e incidentes, con la regla de reportar incidentes críticos en menos de 24 horas al CSIRT Nacional-APF.
Del Plan a la Política APF: de 4 ejes macro a 8 ejes de implementación
Cuando el Plan Nacional de Ciberseguridad 2025–2030 se presentó en diciembre de 2025, la conversación pública giró alrededor de 4 ejes macro: gobernanza, infraestructura crítica, operación y talento. Ese resumen sigue siendo útil para entender la lógica general del Plan. Sin embargo, la conversación cambió de nivel cuando el 17 de diciembre de 2025 se publicó en el Diario Oficial de la Federación la Política General de Ciberseguridad para la Administración Pública Federal (APF), que aterriza la implementación en un modelo más detallado.
En otras palabras: el Plan marcó la dirección; la Política APF definió la arquitectura operativa. Y ahí está uno de los cambios más importantes para dependencias, entidades, integradores y proveedores: la implementación ya no se entiende solo como una narrativa de alto nivel, sino como una estructura formal de cumplimiento, madurez y seguimiento.
Los 4 ejes macro con los que se presentó el Plan
A nivel estratégico, el Plan fue comunicado inicialmente alrededor de cuatro grandes frentes:
1. Gobernanza
Coordinación institucional, rectoría nacional y lineamientos comunes. La ATDT como autoridad rectora única.
2. Infraestructura crítica
Inventario, protección y priorización de activos y servicios esenciales del país.
3. Operación
Fortalecimiento de capacidades nacionales de monitoreo, respuesta y coordinación de incidentes.
4. Talento
Profesionalización, capacitación y cultura de ciberseguridad en toda la APF.
Este marco sigue siendo válido como lectura ejecutiva. No obstante, para efectos de implementación real en la APF, hoy conviene mirar el siguiente nivel.
Los 8 ejes estratégicos vigentes de la Política General de Ciberseguridad para la APF
La Política General de Ciberseguridad para la APF organiza su modelo en 8 ejes estratégicos, que son los que realmente orientan la ejecución, la evaluación de madurez y los futuros lineamientos técnicos:
1. Gobernanza, marco normativo y cumplimiento
Busca un marco homogéneo de reglas, estándares y supervisión para toda la APF, con la ATDT como autoridad rectora.
2. Gestión de riesgos y resiliencia operativa
Introduce una lógica estructurada de evaluación de riesgos, continuidad de servicios y resiliencia de plataformas digitales públicas.
3. Protección de infraestructura crítica y activos tecnológicos
Refuerza la protección de activos, plataformas, redes, nubes y servicios que sostienen operaciones gubernamentales esenciales.
4. Prevención, detección y respuesta a incidentes
Consolida la expectativa de monitoreo continuo, alerta temprana, respuesta coordinada y manejo formal de incidentes —incluyendo reporte al CSIRT Nacional-APF en menos de 24 horas.
5. Identidad, accesos y Zero Trust
Incorpora de forma explícita el enfoque Zero Trust (alineado con NIST SP 800-207) como parte del marco de implementación federal. Ningún usuario, dispositivo o red es confiable por defecto.
6. Cadena de suministro y terceros confiables
Eleva el estándar para proveedores, integradores, servicios externos y evaluación de terceros. Las dependencias deberán acreditar controles sobre quién accede a sus sistemas y bajo qué condiciones.
7. Capacidades técnicas, talento humano y cultura de ciberseguridad
Va más allá de la capacitación genérica: apunta a fortalecer capacidades institucionales sostenibles, métricas de riesgo humano y hábitos operativos medibles.
8. Innovación, madurez y mejora continua
Introduce una lógica de evolución permanente: indicadores, niveles de madurez, remediación continua y revisión periódica de la estrategia.
La Política no solo define ejes; también asigna responsabilidades, prevé figuras institucionales como el Responsable Institucional de Ciberseguridad (RIC), establece la necesidad de Planes Institucionales de Ciberseguridad, contempla evaluación de proveedores y faculta a la Dirección General de Ciberseguridad para acompañar, supervisar, evaluar madurez, ejecutar auditorías, análisis de vulnerabilidades y solicitar acciones correctivas.
Para gobierno, esto significa alinearse con una arquitectura federal cada vez más medible. Para proveedores y socios tecnológicos, significa prepararse para un entorno con mayor exigencia de evidencia, trazabilidad y controles auditables.
Hoja de ruta 2025-2030: tres etapas
El Plan se estructura en tres etapas con fechas y entregables definidos. La Etapa 1 ya está en marcha. Las organizaciones que se alineen ahora llegan mejor posicionadas a las auditorías de 2026-2027.
Etapa 1 (2025-2026): Fundamentos y marco federal
- Política General de Ciberseguridad publicada en DOF — vigente desde el 18 de diciembre de 2025.
- Designación de Titulares Institucionales (TIC) y Responsables (RIC) en cada dependencia.
- Sistemas de alerta temprana y notificación de vulnerabilidades.
- Adhesión formal de México a LAC4 y esquemas regionales.
- Presentación al Congreso de la Estrategia Nacional de Ciberseguridad y la Ley General de Ciberseguridad.
- Arranque del inventario de infraestructura crítica y evaluaciones de vulnerabilidad por dependencia.
- Publicación de lineamientos técnicos y formatos oficiales por la ATDT (plazo: ~15 de junio de 2026).
Etapa 2 (2027-2028): Gestión de riesgos y simulacros
- Consolidación de la gestión de riesgos en todo el ámbito federal.
- Simulacros anuales de ciberincidentes y entrenamiento avanzado por dependencia.
- Segunda fase del CSOC y del CSIRT, con mayor capacidad operativa y cobertura.
- Integración de herramientas de Inteligencia Artificial para detección avanzada y correlación masiva de eventos.
Etapa 3 (2029-2030): Automatización y certificación
- Ventanilla Única de Información en Ciberseguridad.
- Observatorio de Ciberseguridad de la APF con métricas públicas.
- Certificación nacional de ciberseguridad y estrategia de exportación de servicios.
- Operación automatizada 24/7 con revisiones periódicas de la estrategia cada dos años.
El Mundial 2026 actúa como acelerador: se anticipa un incremento significativo de ataques geopolíticos y de alto impacto contra México durante ese periodo, lo que eleva la urgencia de la Etapa 1.
¿A quién impacta realmente este Plan?
Aunque el foco inicial es la Administración Pública Federal, el impacto se extiende de forma inmediata a cuatro grupos adicionales:
Sector financiero
Bancos, aseguradoras y fintechs ya regulados por CNBV y Banxico enfrentarán mayor armonización de controles y expectativa de demostrar alineación al marco APF en auditorías de terceros.
Operadores de infraestructura crítica
Energía, transporte, telecomunicaciones, salud y agua. El inventario nacional de infraestructura crítica los identificará y evaluará. La Ley General de Ciberseguridad extenderá obligaciones a este sector.
Proveedores tecnológicos del gobierno
Empresas que prestan servicios TI, cloud, seguridad o telecomunicaciones a dependencias federales serán evaluadas bajo los criterios de la política en procesos de contratación y auditorías de cadena de suministro.
Sector privado regulado
Cualquier organización en sectores donde la ciberseguridad se vuelve requisito contractual o regulatorio. Alinearse ahora al marco APF da ventaja ante la Ley General de Ciberseguridad antes de que sea obligatoria.
Nota de balance: el Plan ha recibido críticas fundadas de especialistas: llega tarde frente a la evolución de las amenazas, carece de detalles claros de presupuesto y puede quedar en el papel si no se cierra la brecha de talento y no se aplican sanciones efectivas. Estas observaciones no invalidan el marco, pero sí subrayan que el cambio real depende de la agenda de cumplimiento de cada organización, no solo del texto publicado.
De la política al control: cómo aterriza en su organización
El Plan define ejes estratégicos pero no prescribe controles técnicos específicos para el sector privado. Esta tabla traduce cada eje a controles operativos, evidencia que los auditores y la ATDT esperarán ver, y el servicio QMA que cubre esa brecha.
| Eje del Plan | Control operativo requerido | Evidencia auditable | Servicio QMA |
|---|---|---|---|
| Eje 1 — Gobernanza, marco normativo y cumplimiento | Designación del RIC. Plan Institucional de Ciberseguridad aprobado por titular. | Nombramiento notificado a ATDT. Plan firmado con metas. | GRC |
| Eje 2 — Gestión de riesgos y resiliencia operativa | Inventario de activos actualizado. Escaneo continuo de vulnerabilidades. Priorización por exposición real. | Reportes de escaneo periódico. Registro de remediación. Mapa de activos críticos. | Riesgos y Vulnerabilidades (VM) |
| Eje 3 — Protección de infraestructura crítica y activos tecnológicos | Inspección de tráfico web (SWG). Control de shadow IT (CASB). Prevención de fuga (DLP). | Logs de tráfico inspeccionado. Políticas DLP activas. Reportes de shadow IT. | iboss Zero Trust SASE |
| Eje 4 — Prevención, detección y respuesta a incidentes | Monitoreo continuo de eventos. Triage de incidentes. Reporte al CSIRT Nacional-APF en menos de 24 horas. Playbooks para ransomware, DDoS y fuga. | Logs de alertas y cierres. Tiempos de detección. Historial de notificaciones. Post-mortems documentados. | MDR 24/7 y SOC · Respuesta a Incidentes (IR) |
| Eje 5 — Identidad, accesos y Zero Trust | Autenticación fuerte (MFA). Control por identidad, no por red. PAM. ZTNA a aplicaciones. | Políticas de acceso documentadas. Registros de sesiones privilegiadas. Alertas de acceso anómalo. | IAM/PAM · QMA Zero Trust |
| Eje 6 — Cadena de suministro y terceros confiables | Evaluación de proveedores y terceros. Criterios de acceso para integradores y MSSP. Auditorías de cadena de suministro en contrataciones. | Registros de evaluación de terceros. Matrices de riesgo de proveedor. Cláusulas contractuales de seguridad. | GRC · VM |
| Eje 7 — Talento humano y cultura de ciberseguridad | Programa continuo de concientización. Simulaciones de phishing. Métricas de riesgo por área. | Registros de capacitación. Resultados de simulaciones. Dashboards de riesgo humano. | Security Awareness · Kymatio |
| Eje 8 — Innovación, madurez y mejora continua | Alineación con ISO/IEC 27001 y NIST. Gestión de riesgos documentada. Evaluaciones de madurez periódicas. | Declaración de aplicabilidad (SoA). Registro de tratamiento de riesgos. Informes de auditoría. | GRC · ISO 27001 |
Hoja de ruta de 90 días para alinear su organización
Para que el Plan Nacional no sea un documento lejano, proponemos seis movimientos concretos que la mayoría de organizaciones pueden ejecutar en 90 días:
Diagnóstico 360° de ciberresiliencia
Revisión de madurez en identidad, red, endpoints, datos y factor humano. Mapeo contra Zero Trust y los pilares del Plan: inventario, respuesta y formación.
Mapa de activos e infraestructura crítica
Identificación de sistemas críticos, dependencias y puntos únicos de falla. Priorización de activos de alto impacto para el negocio y para auditores.
Estrategia Zero Trust y SASE
Definición de la arquitectura objetivo: acceso por aplicación, inspección SSL, CASB/DLP y protección contra amenazas avanzadas con iboss Zero Trust SASE.
Gestión de vulnerabilidades y exposición
Implementación o fortalecimiento de capacidades con Tenable One. Integración de escaneos con procesos de cambio, desarrollo y operación.
Capacitación y riesgo humano
Campañas de concientización y simulaciones de ataques. Métricas de riesgo humano para priorizar acciones y demostrar avance ante auditores.
Simulacro de incidente y preparación 2026
Al menos un table-top o simulacro técnico de incidente mayor. Revisión de roles, tiempos de respuesta y comunicación interna y externa.
Preguntas frecuentes
¿Qué es el Responsable Institucional de Ciberseguridad (RIC) y por qué debe ser distinto al titular de TI?
El RIC coordina la aplicación interna de la Política y sirve de enlace técnico con la ATDT. La política establece que debe ser distinto al titular de la UTIC para evitar conflictos de interés. Elabora el Plan Institucional de Ciberseguridad, coordina su ejecución, reporta incidentes y promueve la mejora continua.
¿Qué pasa si una dependencia no designó a su Titular Institucional en el plazo de 60 días?
El plazo venció el 17 de febrero de 2026. Las dependencias que no cumplieron quedan en incumplimiento administrativo formal frente a la ATDT, con impacto en futuras auditorías y evaluaciones de madurez. El primer paso es regularizar la designación con fecha documentada.
¿Cómo debe reportarse un incidente crítico al CSIRT Nacional-APF?
Los incidentes críticos deben notificarse en menos de 24 horas desde su detección. La ATDT habilitará una plataforma de comunicación para este fin. Mientras se publican los lineamientos técnicos (~junio 2026), las dependencias deben tener ya un proceso interno de clasificación de severidad y protocolo de escalación documentado.
¿Qué es el CSOC Nacional Federado y qué implica para las dependencias?
Es un centro de monitoreo 24/7 que la ATDT implementará a nivel federal, con correlación de eventos, alertamiento, threat hunting y emisión de directivas de contención. No reemplaza la necesidad de un SOC o MDR propio: las dependencias deben tener telemetría organizada para responder a las directivas del CSOC Nacional.
¿Qué significa Zero Trust en el contexto de la Política APF?
La Política General de Ciberseguridad para la APF incorpora “Identidad, accesos y Zero Trust” como eje estratégico formal (Eje 5), alineándose explícitamente con NIST SP 800-207. Eso no es lenguaje comercial: es parte del marco de implementación obligatorio para toda la APF.
En términos operativos, Zero Trust significa que ningún usuario, dispositivo o red es confiable por defecto. Las implicaciones prácticas incluyen: autenticación fuerte (MFA), control de acceso por identidad y no por ubicación en red, segmentación por aplicación, inspección de tráfico cifrado (SSL), y visibilidad consolidada de eventos. Las organizaciones que aún dependen de VPN como control principal enfrentan una brecha técnica clara frente a estos requisitos.
Para proveedores que atienden dependencias APF, este eje también tiene implicaciones directas: el Eje 6 (cadena de suministro y terceros confiables) exigirá evidencia de que los accesos de terceros cumplen con estos estándares.
¿La Política APF aplica solo al gobierno o también a proveedores privados?
El Acuerdo DOF establece observancia obligatoria para dependencias y entidades de la APF. El impacto en sector privado es inmediato para proveedores de servicios tecnológicos al gobierno, que serán evaluados bajo los criterios de la política en contrataciones y auditorías de terceros. La futura Ley General de Ciberseguridad extenderá obligaciones formales al sector financiero, energía, telecomunicaciones y salud.
¿Su organización está lista para junio de 2026?
El Plan Nacional de Ciberseguridad 2025-2030 ya es obligatorio para la APF y definirá presupuestos, auditorías y contratos para todo el ecosistema digital mexicano. La diferencia estará en qué tan pronto decida alinear su estrategia interna.
En QMA Zero Trust ayudamos a organizaciones del sector público y privado a convertir este marco en controles operativos concretos: menos superficie de ataque, evidencia auditable y posición sólida frente a reguladores y consejo directivo.
Fuentes y referencias oficiales
Este artículo se basa en documentos primarios del Gobierno de México. Acceda directamente a las fuentes:
DOF — Acuerdo Política General de Ciberseguridad APF
Publicación oficial del 17 de diciembre de 2025. Contiene el texto completo del Acuerdo emitido por la ATDT, los artículos transitorios y los plazos de implementación.
Plan Nacional de Ciberseguridad 2025-2030 (PDF, 85 pp.)
Documento completo elaborado por la ATDT y la Dirección General de Ciberseguridad. Incluye ejes estratégicos, hoja de ruta, capacidades operativas y métricas nacionales.
Política General de Ciberseguridad APF (PDF oficial)
Texto íntegro de la Política publicada por la ATDT, disponible en el repositorio oficial de archivos de la Agencia de Transformación Digital y Telecomunicaciones.
ATDT — Agencia de Transformación Digital y Telecomunicaciones
Autoridad rectora de la ciberseguridad en la APF. Portal oficial con comunicados, lineamientos publicados y actualizaciones del Plan Nacional.
Última verificación de enlaces: febrero 2026. Si algún documento oficial cambia de ubicación, consulte directamente gob.mx/atdt. Autoría: QMA Research.