El Gobierno de México formalizó la Política General de Ciberseguridad para la Administración Pública Federal (APF) con su publicación en el Diario Oficial de la Federación (DOF). El acuerdo fue emitido por José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), con base en atribuciones para definir protocolos de seguridad de información y comunicaciones, y para emitir instrumentos normativos y operativos aplicables en el gobierno federal.
La publicación aterriza un anuncio hecho semanas antes. El 4 de diciembre de 2025, durante la presentación del Plan Nacional de Ciberseguridad 2025-2030, la Dirección General de Ciberseguridad, encabezada por Karla Heidy Rocha Ruiz, adelantó que la política general para la APF estaba “próxima a ser publicada”. El acuerdo la vuelve obligatoria y abre el ciclo de implementación institucional.
¿A quién aplica y qué cambia en la operación?
La política es de observancia obligatoria para dependencias, órganos desconcentrados y entidades de la APF, con excepción de la Secretaría de la Defensa Nacional, la Secretaría de Marina y el Centro Nacional de Inteligencia “en lo que refiere a seguridad nacional” y a sus actividades propias.
En el diseño operativo, cada institución debe contar con un Responsable Institucional de Ciberseguridad (RIC), preferentemente distinto al titular de la unidad de TI, para actuar como punto técnico y de coordinación con la autoridad.
El documento de la política detalla que los titulares institucionales deben designar al RIC y aprobar un Plan Institucional de Ciberseguridad; mientras que el RIC debe elaborar y actualizar ese plan, coordinar su ejecución, monitorear y reportar incidentes, y gestionar procesos de autoevaluación y mejora continua.
De “defensa fragmentada” a una arquitectura federal
La política plantea un marco común organizado en ocho ejes estratégicos, desde gobernanza y gestión de riesgos hasta identidad, cadena de suministro, talento e innovación. Entre sus apuestas están la adopción de enfoques como Zero Trust e autenticación multifactor para reducir la exposición a ciberataques por credenciales comprometidas.
En materia de respuesta a incidentes, la política perfila dos piezas: el CSIRT Nacional-APF y un CSOC Nacional Federado. El CSIRT, según la política, debe establecer protocolos de notificación y una matriz de severidad, con una regla: los incidentes críticos deberán reportarse en menos de 24 horas, además de coordinar contención y recuperación entre entidades y emitir alertas con playbooks para escenarios como ataques ransomware o DDoS.
El CSOC, por su parte, se define como un centro de monitoreo 24/7, con correlación y alertamiento, caza de amenazas y emisión de boletines de inteligencia y directivas de contención.
Principales Acciones y Plazos
- Designación de titulares y responsables institucionales de ciberseguridad (RIC): Debe realizarse en 60 días.
- Emisión de lineamientos técnicos y criterios de cumplimiento: Debe realizarse en 180 días.
- Designación formal del RIC y aprobación del Plan Institucional de Ciberseguridad: Debe realizarse en 60 días.
- Auditorías de cumplimiento: Se realizarán por parte del gobierno federal.
Preguntas y Respuestas Clave
- ¿Quiénes están sujetos a esta política? Todas las dependencias, órganos desconcentrados y entidades de la APF, con excepciones.
- ¿Qué es un Responsable Institucional de Ciberseguridad (RIC)? Es el punto técnico y de coordinación con la autoridad para cada dependencia.
- ¿Qué debe incluir un Plan Institucional de Ciberseguridad? Debe detallar los ejes estratégicos, las medidas de seguridad y el plan de respuesta a incidentes.
- ¿Cuál es la importancia del CSIRT Nacional-APF? Es el encargado de establecer protocolos y coordinar la respuesta a incidentes.
- ¿Cuál es el rol del CSOC Nacional Federado? Es un centro de monitoreo 24/7 que analiza amenazas y emite directrices.
- ¿Qué se espera de los titulares institucionales? Que designen al RIC y aprueben el Plan Institucional.
