Plan Nacional de Ciberseguridad de México (Guía 2026)

Plan Nacional de Ciberseguridad
El 4 de Diciembre del 2025 fue presentado el Plan Nacional de Ciberseguridad, la primera política especializada en defensa digital en la historia del Gobierno de México.

México es segundo en América Latina en recibir ciberataques (detrás de Brasil). Solo en la primera mitad del 2025, el panorama de la ciberseguridad en México registró más de 40,600 millones de atentados. Entre Noviembre del 2019 y Septiembre del 2025, se registraron 16 incidentes críticos de ciberseguridad que golpearon sectores clave como gobierno, finanzas, industria y educación.

En este artículo te explicamos a fondo de qué trata esta iniciativa, los organismos que la rigen, a qué industrias afecta, qué significa para tu empresa a largo plazo, y cómo Mindsec puede ayudarte a acatar este mandato para evitar multas federales, vulnerabilidades y el riesgo de ciberataques a futuro.

¿Qué es el Plan Nacional de Ciberseguridad de México?

El Plan Nacional de Ciberseguridad es el primer instrumento estratégico del país diseñado para guiar a la Administración Pública Federal (APF) hacia un ecosistema digital seguro y confiable. Fue publicado en el Diario Oficial de la Federación (DOF) el 17 de Diciembre del 2025.

El objetivo central es claro: posicionar a México como referente regional en ciber-resiliencia con un modelo centrado en la prevención de amenazas y la respuesta coordinada ante incidentes digitales.

El Índice Global de Ciberseguridad 2024 de la Unión Internacional de Telecomunicaciones (UTI) ubica a México como Tier 2 Avanzado por sus fortalezas técnicas y legales. Sin embargo, esa clasificación no impide que el país sea blanco del cibercrimen organizado, del ciberespionaje geopolítico y de ataques impulsados por IA (deepfakes, phishing y malware automatizado).

La respuesta a esto es una política transversal que involucra la colaboración entre gobierno, academia e industria. El plan de ciberseguridad en México se organiza en seis ejes temáticos:

  • Gobernanza y marco institucional
  • Desarrollo de capacidades humanas
  • Cooperación y vinculación internacional
  • Gestión de riesgos e identificación de infraestructuras críticas
  • Innovación y adopción tecnológica
  • Sostenibilidad presupuestaria y financiera

¿Qué es la Agencia de Transformación Digital y Telecomunicaciones (ATDT)?

La Agencia de Transformación Digital y Telecomunicaciones (ATDT) funge como la autoridad rectora en el Plan Nacional de Ciberseguridad y cuenta con la facultad de emitir lineamientos, supervisar su cumplimiento y coordinar la respuesta a incidentes en todo el gobierno federal. 

Fue creada por decreto el 28 de Noviembre del 2024, con rango de secretaría de Estado dentro del gabinete de la presidenta Claudia Sheinbaum. Inició sus operaciones el 1 de Enero del 2025 y su misión es cerrar la brecha digital y garantizar que la ciudadanía pueda acceder a servicios digitales y de telecomunicaciones, sin importar la ubicación.

Dentro de su estructura, la Dirección General de Ciberseguridad (DGCiber), encabezada por Heidy Rocha Ruiz, es el área que desarrolla estrategias, marcos de gobernanza, políticas, regulación y gestión de riesgos en materia de ciberseguridad en México. Es también la responsable de supervisar auditorías, coordinar el intercambio de información crítica y atender incidentes que afecten a instituciones federales.

Entre sus otros proyectos están la identidad digital Llave MX y el lanzamiento de un nuevo satélite geoestacionario en 2027.

Agenda 2026-2030 del Plan Nacional de Ciberseguridad

El Plan Nacional de Ciberseguridad está diseñado para ejecutarse en seis fases anuales entre 2025 y 2030: 

  • Fundamento (2025)
  • Expansión (2026)
  • Consolidación (2027)
  • Maduración (2028)
  • Liderazgo (2029)
  • Transformación (2030)

Avance de la ciberseguridad en México en 2025

Durante el 2025, la ATDT concentró sus esfuerzos en construir las bases institucionales y técnicas sobre las que se ejecutará el resto de la estrategia.

Los avances destacados de este año incluyen:

  • La publicación de la Política de Ciberseguridad en el DOF.
  • Un análisis exhaustivo para diagnosticar del estado actual de la ciberseguridad en México.
  • Apoyo del BID. El Banco Interamericano de Desarrollo participó en la presentación del plan a través de sus consultores Ariel Nowersztern y Jorge Mora de Flores, quienes respaldaron la iniciativa para atender los desafíos actuales.
  • Coordinación interinstitucional. La ATDT comenzó a construir una Red de Contactos con gobierno, industria y academia, con participación de organizaciones como la OEA, la UNAM, el IPN, la Alianza México Ciberseguro y el Consejo Nacional de la Industria Maquiladora y Manufacturera de Exportación.

Agenda 2026-2030 del Plan Nacional de Ciberseguridad

El Plan Nacional de Ciberseguridad contempla acciones concretas para transformar el ecosistema digital del país.

  • 2026: Expansión. Este año se actualizará la Estrategia Nacional de Ciberseguridad (que no se revisaba desde 2017). Se prevé que incorpore revisiones semestrales como estándar. También se construirá el inventario nacional de infraestructuras críticas, se llevarán a cabo evaluaciones de vulnerabilidad en dependencias federales y se homologará el nivel de madurez entre instituciones. Para el sector privado, este será el año en que aparezcan los primeros requisitos formales de evidencias de controles, auditorías o protocolos de respuesta a incidentes.
  • 2026-2027: Implementación de la Ley General de Ciberseguridad. Se prevé la promulgación de la primera Ley General de Ciberseguridad de México. Este instrumento extenderá obligaciones formales al sector financiero, telecomunicaciones, energía y salud, e incorporará un sistema de sanciones por incumplimiento. La legislación se centrará en la gestión de la ciberseguridad en México para prevenir incidentes y establecerá estándares mínimos para sectores críticos.
  • 2027-2028: Consolidación y maduración del Plan Nacional de Ciberseguridad. Se contempla la operación plena de un Centro de Operaciones de Ciberseguridad (CSOC) y un Centro Nacional de Respuesta a Incidentes de Seguridad Informática de la Administración Pública Federal (CSIRT-APF); el desarrollo de proyectos de estandarización e interoperabilidad; y la implementación de capacidades de ciberdefensa impulsadas por inteligencia artificial. También se prevé el lanzamiento de programas nacionales de capacitación y certificación en ciberseguridad.
  • 2029-2030: Liderazgo y transformación regional. La meta es posicionar a México como exportador de conocimiento especializado en ciberseguridad y líder en iniciativas de cooperación en América Latina y el Caribe. Esto incluye el desarrollo de un Cyber Range nacional para entrenamiento avanzado y la creación de un sistema de evaluación y alerta temprana de nivel regional.

Por último, se creará un Consejo Nacional de Ciberseguridad que mezclará la participación de gobierno, academia e industria, el cual será el órgano rector que coordine la implementación de esta agenda 2026-2030 y garantice la rendición de cuentas.

¿A qué industrias afecta el Plan Nacional de Ciberseguridad de México?

En su fase inicial, el Plan Nacional de Ciberseguridad tiene observancia obligatoria para las dependencias y entidades de la APF. Esto incluye a todas las secretarías de Estado y organismos coordinados del gobierno federal.

Para el sector privado, el alcance aún está por definirse. Se espera que los lineamientos específicos sean publicados a mediados del 2026. Es claro que la ciberseguridad en México dejará de ser una buena práctica voluntaria para convertirse en un requisito de cumplimiento. Especialmente para los sectores conectados a servicios esenciales.

Los sectores que tendrán mayor exposición a nuevas obligaciones en el corto y mediano plazo son:

  • Sector financiero. Los bancos, casas de bolsa, aseguradoras y demás entidades supervisadas por la Comisión Nacional Bancaria y de Valores (CNBV) ya están sujetos a marcos regulatorios que incluyen obligaciones de seguridad digital.
  • Telecomunicaciones. Como sector habilitador de toda la infraestructura digital del país, las empresas de telecomunicaciones estarán entre las primeras en recibir lineamientos específicos.
  • Energía e infraestructura crítica. El Plan Nacional de Ciberseguridad establece la creación de un inventario nacional de infraestructuras críticas y un programa de evaluación de vulnerabilidades. Empresas del sector energético, agua, transporte y salud estarán en el centro de este ejercicio.
  • Tecnología y proveedores del gobierno. Las empresas que ofrecen servicios tecnológicos a dependencias federales serán evaluadas bajo los criterios de la Política APF en contrataciones y auditorías de terceros. Contar con marcos como la certificación ISO 27001 o NIST CSF 2.0 dejará de ser un diferenciador y se volverá en un requisito.
  • Manufactura e industria. El plan reconoce riesgos crecientes para infraestructuras de tecnología operacional (OT) en sectores industriales. Las empresas manufactureras, especialmente las conectadas a cadenas globales, necesitarán demostrar controles de ciberseguridad ante sus clientes y socios.

Aunque las obligaciones formales para el sector privado están por definirse, los contratos con el gobierno y con grandes corporativos ya están comenzando a incorporar requisitos de seguridad de la información. Adelantarse a esto es una ventaja competitiva.

Prepara tu ciberseguridad y protege tu empresa con Mindsec

El Plan Nacional de Ciberseguridad marca el inicio de una nueva era para la seguridad digital en México. Las dependencias federales ya están bajo un marco obligatorio. El sector privado, especialmente en finanzas, telecomunicaciones, energía, manufactura y tecnología, está a punto de toparse con los mismos requisitos.

Adoptar estas normas por anticipado representa excelencia operativa, proteger la continuidad del negocio, construir confianza de los clientes y mejorar tu relación con el gobierno.

Mindsec es una plataforma diseñada para automatizar el cumplimiento con programas de ciberseguridad en México y certificaciones internacionales como ISO 27001 y NIST CSF 2.0 que están perfectamente alineadas con las ambiciones de este plan.

La plataforma de Mindsec te ayuda a:

  • Construir y gestionar un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con ISO 27001, el estándar de referencia que el plan promueve para el sector privado.
  • Centralizar la documentación de políticas, evaluaciones de riesgos y evidencias de cumplimiento, listas para auditorías o verificaciones de la ATDT.
  • Automatizar flujos alertas, tareas y recordatorios para mantenerse al día con revisiones periódicas, capacitaciones y obligaciones normativas.
  • Avanzar en el cumplimiento de varias certificaciones a la vez gracias a la compartimentalización de evidencia y la tecnología de mapeo-cruzado.
  • Gestionar riesgos de proveedores y terceros, respondiendo al Eje 6 del plan que pone foco explícito en la cadena de suministro.
  • Administrar reportes listos para auditoría que demuestren el estado de ciberseguridad ante reguladores, clientes y el comité ejecutivo.

Mindsec también te apoya con el cumplimiento más de una docena de otras certificaciones, como ISO 9001, SOC 2, PCI DSS y la directiva NIS2, lo que permite gestionar múltiples marcos desde una sola plataforma.

Agenda un demo de 15 minutos para conocer cómo Mindsec puede convertirse en tu ventaja competitiva durante la implementación del Plan Nacional de Ciberseguridad.

¿Tienes dudas sobre el Plan Nacional de Ciberseguridad? ¡Contáctanos!

Si quieres cumplir con el Plan Nacional de Ciberseguridad y otras certificaciones internacionales, pero no sabes por dónde empezar, agenda un demo y descubre cómo automatizamos el proceso para ti.

Ver a Mindsec en acción