Techmex

Noticias sin hype

All articles
ciberseguridadregulaciónATDTpolítica digitalMéxico

México fija el 15 de junio como límite para cumplir lineamientos de ciberseguridad

La ATDT publicará antes del 15 de junio los criterios técnicos obligatorios para sectores críticos; el incumplimiento expone a sanciones y vulnerabilidades regulatorias.

·4 min read
México fija el 15 de junio como límite para cumplir lineamientos de ciberseguridad

México fija el 15 de junio como límite para cumplir lineamientos de ciberseguridad

La Agencia de Transformación Digital y Telecomunicaciones (ATDT) tiene hasta el 15 de junio de 2026 para publicar los lineamientos técnicos obligatorios de ciberseguridad que afectarán a todas las dependencias federales y a los operadores de sectores críticos del país. El plazo deriva de la Política General de Ciberseguridad para la Administración Pública Federal, que entró en vigor en diciembre de 2025 con un periodo de implementación de 180 días.

Para las empresas de telecomunicaciones, finanzas, energía y salud que operan en México, el reloj ya está corriendo.

Qué exigen los lineamientos

Aunque el texto definitivo aún no se ha publicado en el Diario Oficial de la Federación, los borradores circulados por la ATDT establecen tres obligaciones centrales:

  • Designar un oficial de ciberseguridad con responsabilidad formal ante la agencia.
  • Implementar un programa de gestión de riesgos alineado con marcos internacionales como NIST o ISO 27001.
  • Notificar incidentes en un máximo de 72 horas a partir de su detección, sin importar el tamaño del operador.

Las organizaciones que no cumplan quedan expuestas a sanciones administrativas y, en casos de infraestructura crítica, a intervención directa de la agencia.

La Ley Federal de Ciberseguridad viene después

Los lineamientos de junio son apenas el primer escalón. Para la segunda mitad de 2026 se espera la publicación de la Ley Federal de Ciberseguridad —la llamada iniciativa Colosio-MORENA— que creará una Agencia Nacional de Ciberseguridad con facultades de inspección y sanción, y un Registro Nacional de Infraestructura Crítica.

La ley impondría requisitos más estrictos para proveedores de nube, operadores de centros de datos y plataformas de pago digital, sectores donde México ha concentrado la mayor inversión extranjera tecnológica en los últimos tres años.

Contexto: México, objetivo prioritario de ciberataques

La urgencia regulatoria no es arbitraria. México registró más de 55 mil millones de intentos de ciberataque en los primeros meses de 2026, una cifra que lo coloca entre los cinco países más atacados de América Latina, según datos de Fortinet. El sector financiero concentra el 38% de los incidentes reportados.

La proximidad del Mundial de Futbol 2026, que se celebrará parcialmente en territorio mexicano, ha intensificado las alertas: los grandes eventos deportivos son vectores probados de phishing masivo, fraude de boletos y ataques a infraestructura de telecomunicaciones.

Qué deben hacer las organizaciones ahora

Los expertos consultados por Techmex coinciden en tres acciones inmediatas:

  1. Auditar el inventario de activos digitales y clasificar cuáles son críticos para la operación.
  2. Revisar los contratos con proveedores de nube y software para asegurar que incluyan cláusulas de notificación de brechas compatibles con el plazo de 72 horas.
  3. Nombrar formalmente al responsable de seguridad antes de la fecha límite, aunque el programa de gestión de riesgos todavía esté en construcción.

Las pequeñas y medianas empresas que operen en sectores regulados tienen la misma obligación que las grandes corporaciones. La escala del negocio no exime del cumplimiento.

Perspectiva

México lleva años sin un marco legal específico de ciberseguridad —la regulación vigente estaba dispersa en leyes sectoriales de telecomunicaciones, banca y protección de datos—. Los lineamientos de junio y la ley de la segunda mitad del año representan el intento más serio del gobierno federal por unificar ese marco y alinearlo con estándares de la Unión Europea y Estados Unidos.

Para el ecosistema tecnológico mexicano, el cumplimiento no debería verse como una carga, sino como un diferenciador competitivo: las empresas con certificaciones de seguridad robustas tienen mayores posibilidades de acceder a contratos gubernamentales y de expandirse a mercados internacionales más exigentes.

El texto definitivo de los lineamientos se esperaba en los portales oficiales de la ATDT y el DOF en los próximos días. Techmex dará seguimiento puntual a su publicación.

Boletín

Suscríbete a Techmex

Resumen semanal. Las mejores historias. Sin spam.

← Back to all articles