Por Norberto Maldonado
México enfrenta una ola de ciberataques sin respuesta institucional.
Las empresas están solas, sin estrategia nacional, sin coordinación ni respaldo ante el robo masivo de datos.
En abril de 2024, la empresa Coppel sufrió un ataque del sistema informático Lockbit 3.0. El incidente obligó a detener por tres meses la operación de 1,800 tiendas, afectó la logística, la distribución y las ventas en línea. Las pérdidas fueron millonarias. El banco, que opera de forma independiente, resultó poco afectado. El caso dejó claro que las empresas mexicanas no tienen protección frente al cibercrimen.
México registró 35,200 millones de intentos de ciberataque solo en el primer trimestre de 2025, lo que lo posiciona como el segundo país más vulnerable de América Latina. Los ataques se ejecutan con inteligencia artificial, lo que permite a los delincuentes actuar de manera más rápida y sin tanto ruido.
Las empresas o pagan rescates o absorben pérdidas. El costo promedio que enfrentan las pymes es de 30 mil pesos por incidente, sin posibilidad de recuperar la información. El marco legal ha impulsado la creación de identidades digitales, bases de datos y la CURP biométrica, pero sin mecanismos de protección equivalentes.
A esto se suma la reforma al Artículo 30-B del Código Fiscal, que obliga a las plataformas digitales a enviar información en tiempo real al SAT. La regulación avanza sin que exista una infraestructura de seguridad adecuada.
México no cuenta con una estrategia nacional de ciberseguridad. No hay cooperación con la OCDE, la Unión Europea ni la ONU. Tampoco existen divisiones que atiendan incidentes o emitan protocolos obligatorios.
De acuerdo con estimaciones del Banco de México, las pérdidas acumuladas por ciberataques entre 2019 y 2024 ascienden a 1,500 millones de pesos. En 2024, solo cuatro bancos reportaron daños aproximados por 140 millones de pesos, equivalentes al 0.6 % del PIB. No se consideran las pérdidas por productividad ni por tiempo de inactividad.
Las instituciones públicas también han sido vulneradas en múltiples ocasiones: SEP (2025), Consejería Jurídica (2023), CONAGUA (2023), SEDENA (2022), Economía (2020) y Pemex (2019). Los ataques demuestran sistemas fragmentados, baja capacidad técnica y presupuestos mínimos. La recuperación de servicios tarda semanas; el análisis de daños incluso más.
El sector privado no está mejor preparado. En 2015, empresas de telecomunicaciones fueron infectadas con el malware Regin; en 2020, fintechs mexicanas filtraron más de un millón de correos; en 2024, Grupo Bimbo fue víctima del ransomware Medusa. Las pymes, que representan más del 70 % del empleo formal, son las más expuestas: operan con equipos antiguos, contraseñas débiles y personal no capacitado.
Las economías desarrolladas tratan la ciberseguridad como política de Estado.
La Unión Europea cuenta con la Directiva NIS2, que obliga a las empresas críticas a notificar incidentes y adoptar medidas preventivas.
La CISA de Estados Unidos coordina al gobierno y al sector privado para responder ataques en tiempo real.
México no tiene un equivalente. Las empresas enfrentan las mismas amenazas, pero sin respaldo institucional.
El costo de la inacción sigue aumentando. Los seguros cibernéticos se han encarecido hasta un 80 % desde 2021, y las aseguradoras limitan la cobertura si la empresa no demuestra políticas activas de prevención.
Un ataque promedio puede paralizar operaciones entre 15 y 30 días, tiempo suficiente para perder clientes y contratos.
La OCDE estima que los ciberataques reducen entre 0.5 y 1.2 puntos del PIB en países con infraestructura digital débil. En México, eso equivale a más de 300 mil millones de pesos anuales. Los delincuentes digitales utilizan inteligencia artificial para fraudes, robo de identidad y manipulación contable. El país depende de software extranjero y carece de normas nacionales de auditoría digital.
Un ataque grave al SAT o al sistema de pagos públicos podría comprometer nóminas, remesas y recaudación en cuestión de minutos.
No hay coordinación entre dependencias ni suficiente personal técnico. Los presupuestos son limitados y la inversión privada sigue siendo reactiva.
El resultado es un país que pierde información todos los días y no tiene forma de responder.
La única alternativa es la protección de la propia empresa privada.
Cada compañía debe generar su propio sistema de defensa.
El Foro Económico Mundial advierte que el 25.7 % de los ataques globales se dirigen al sector manufacturero y que el 71 % son ransomware. Los costos crecen cada año.
Cinco pasos básicos:
1. Actualizar infraestructura.
2. Capacitar equipos internos.
3. Implementar programas de respaldo y respuesta.
4. Cifrar la información crítica.
5. Integrar la seguridad digital en la estrategia de la empresa.
El Estado no va a ayudar.
Proteger la información ya no es una opción, sino una condición para seguir operando.
En la economía actual, los datos son capital.
Quien no invierte en seguridad, deja de competir.
