Intelligence in Risk Advisory + Compliance

La Ciberseguridad como Derecho Humano: El nuevo marco jurídico de México para la era digital

By +
Posted on Jun 23 / 2025

Resumen

México ha enfrentado un aumento alarmante en ciberataques, con 31 millones de intentos solo en 2024, lo que subraya una vulnerabilidad creciente y la urgente necesidad de un marco legal unificado. Este artículo explora la propuesta de Ley de Ciberseguridad del senador Luis Donaldo Colosio R., que busca establecer un sistema nacional robusto con un enfoque centrado en los derechos humanos en el entorno digital.

A lo largo de este análisis, se expone cómo esta iniciativa legislativa no solo pretende fortalecer la infraestructura de ciberseguridad del país, sino también salvaguardar la privacidad, la libertad de expresión y el acceso a la información como derechos fundamentales en el espacio digital. Se entenderá la estructura institucional propuesta, incluyendo la creación de una Agencia Nacional de Ciberseguridad, y cómo las obligaciones diferenciadas por riesgo buscan proteger a todos, desde operadores de servicios esenciales hasta usuarios individuales.

 

En los últimos años, México se ha vuelto cada vez más vulnerable en el ámbito de la ciberseguridad. En tan solo 2024, México registro 31 millones de intentos de ciberataques, lo que representa el 55% de todos los ataques en Latinoamérica, según Teramind, dirigidos tanto a entidades públicas como privadas. México se ha convertido en un objetivo principal para los ciberdelincuentes, con un incremento del 78% en los intentos de ciberataques en el 2024. Esta tendencia no solo afecta las operaciones comerciales, sino que también compromete la confianza del consumidor y aumenta los costos operativos. Sectores críticos, incluyendo gobierno (31%), manufactura y comercio (23%), salud (9%), finanzas (6%) y transporte (5%), han sido particularmente vulnerables a debilidades significativas en la protección de servicios esenciales. 

A pesar de esta situación, México actualmente carece de un marco legal unificado para regular la ciberseguridad de manera coordinada. Con regulaciones existentes fragmentadas, se limita la capacidad de responder eficazmente a los incidentes y se irrumpen brechas importantes en áreas como la protección de infraestructuras clave y datos sensibles. Sin un liderazgo y programa centralizados, México ha luchado para desarrollar estrategias efectivas de prevención y mitigación, aumentando así la exposición a los ciberataques. Frente a estos retos, se vuelve evidente la necesidad de un enfoque más estratégico y articulado para gobernar la ciberseguridad en México. 

En respuesta, el senador Luis Donaldo Colosio R. propuso una Ley de Ciberseguridad destinada a establecer un sistema nacional robusto con un enfoque de derechos humanos. La iniciativa incluye la creación de una Agencia Nacional de Ciberseguridad y un Sistema Nacional de Ciberseguridad para coordinar esfuerzos entre entidades gubernamentales, el sector privado, la academia y la sociedad civil. Para Colosio, la ciberseguridad no es una cuestión meramente técnica, sino una prioridad nacional que exige planificación estratégica, capacitación institucional y responsabilidad compartida. 

 

Ciberseguridad como Derecho Humano 

En el núcleo de esta ley está el principio de que la ciberseguridad no es simplemente una necesidad técnica: es un mecanismo para proteger y extender los derechos humanos al espacio digital. La legislación afirma que derechos como la privacidad, la libertad de expresión, el acceso a la información y la no discriminación deben defenderse no solo en el mundo físico, sino también en los entornos digitales. 

Para ello, la ley pretende: 

  • Garantizar el ejercicio de los derechos digitales, asegurando la dignidad, la privacidad, el acceso y la equidad.
  • Preservar los servicios esenciales y la seguridad pública reforzando la resiliencia de los sistemas críticos.
  • Defender la soberanía digital nacional, facultando al Estado para mitigar las ciber amenazas tanto internas como externas. 

Este fundamento basado en los derechos distingue a la ley no sólo como reguladora, sino también en un alcance social, haciendo hincapié en la protección de las personas tanto como de los sistemas. 

 

Reconocimiento y Protección de los Derechos Digitales 

Uno de los aspectos más progresistas de la legislación es su reconocimiento formal de los derechos digitales como extensión de los derechos humanos tradicionales. Entre ellos figuran: 

  • El derecho a la privacidad, la confidencialidad y la protección de los datos personales.
  • El derecho a un Internet libre y abierto, salvaguardado por principios como la neutralidad de la red y la transparencia algorítmica.
  • Protecciones para que niños y adolescentes accedan y participen de forma segura en entornos digitales.
  • El derecho a utilizar dispositivos y redes seguras con las debidas garantías de ciberseguridad.
  • La protección de la propiedad intelectual en el espacio digital. 

Estas disposiciones marcan una tendencia mundial creciente hacia el constitucionalismo digital, que integra las libertades civiles en las estrategias nacionales de ciberseguridad.  

 

Estructura Institucional: Un Marco Nacional de Ciberseguridad 

Para aplicar y supervisar este ambicioso mandato, la ley crea una doble estructura: 

Agencia Nacional de Ciberseguridad 

Organismo público descentralizado encargado de coordinar, aplicar y supervisar las políticas de ciberseguridad. Sus principales responsabilidades son: 

  • Mantener un registro nacional de infraestructuras críticas de información.  
  • Gestionar los incidentes de ciberseguridad en coordinación con los CERT nacionales y sectoriales. 
  • Notificar a las entidades afectadas las amenazas cibernéticas de manera oportuna y proporcional, como lo requiere la ley. 
  • Promover una cultura nacional de ciberseguridad a través de la formación, la innovación y la colaboración internacional. 

Sistema Nacional de Ciberseguridad 

Un mecanismo de coordinación multisectorial que reúne a: 

  • Agencias gubernamentales a nivel federal, estatal y municipal. 
  • La Agencia Nacional  
  • El Consejo Nacional de Ciberseguridad  
  • CERTs nacionales y sectoriales 
  • Representantes de operadores de servicios críticos. 

 

Clasificación en Función del Riesgo y Obligaciones de los Operadores 

La propuesta de ley de ciberseguridad establece obligaciones específicas para diversas entidades cuyas operaciones, tratamiento de datos o servicios se consideren críticos para la seguridad nacional, el bienestar público o la protección de derechos fundamentales. A continuación, se ofrece una clasificación resumida de los sujetos obligados: 

Categoría 

 

Descripción 

 
Operadores de Servicios Esenciales   

Personas o entidades (públicas o privadas) cuyas actividades son críticas para el mantenimiento de las funciones sociales, económicas, sanitarias, financieras o de seguridad pública. Cualquier perturbación podría afectar significativamente a la seguridad nacional o al bienestar de la sociedad. 

 
Administradores de Infraestructuras Críticas de Información  

Entidades públicas o privadas que operan o gestionan sistemas o redes estratégicas cuyo compromiso podría afectar a la estabilidad nacional, el orden público o la seguridad medioambiental y social. 

 
Proveedores de Servicios Digitales Pertinentes  

Plataformas como servicios en la nube, motores de búsqueda, redes sociales y proveedores de alojamiento de datos cuyas operaciones afectan significativamente al acceso a los derechos fundamentales, la estabilidad económica o la seguridad pública. 

 
Agencias Gubernamentales de Todos los Niveles  

Instituciones públicas que gestionan o salvaguardan sistemas de información, bases de datos o servicios digitales esenciales para la prestación de servicios públicos o la protección de los derechos humanos. 

 
Entidades Privadas que Gestionan Datos Estratégicos o de Alto Riesgo  

Empresas que, sin ser operadores de servicios esenciales, tratan o almacenan información sensible de carácter personal o estratégico en volúmenes o niveles de riesgo que pueden afectar a derechos fundamentales o a la continuidad de servicios críticos. 

 
    


En función de esta clasificación, la ley establece obligaciones graduadas según el nivel de riesgo y criticidad: 
 

  • Los Operadores de Riesgo Alto deben realizar evaluaciones de riesgo continuas, implantar planes de contingencia y recuperación, someterse a auditorías anuales de ciberseguridad y notificar los incidentes inmediatamente.
  • Los operadores de riesgo medio deben mantener políticas internas de ciberseguridad, realizar evaluaciones de riesgo periódicas y notificar incidentes significativos en un plazo razonable.
  • Los operadores de riesgo bajo deben adoptar medidas básicas de higiene en ciberseguridad y seguir protocolos de notificación simplificados.  

Este modelo basado en el riesgo está diseñado para alinear la supervisión con el impacto, reforzando la seguridad donde más importa, sin sobrecargar a los sectores de menor riesgo.  

 

Refuerzo de la respuesta nacional a incidentes: El papel de los CERT 

La ley formaliza el papel de los CERT (por sus siglas en inglés, Computer Emergency Response Teams o Equipos de Respuesta a Emergencias Informáticas), establecidos tanto a nivel nacional como sectorial, con el objetivo de garantizar respuestas coordinadas y adaptadas a las particularidades de cada sector. Sus responsabilidades incluyen: 

  • Supervisión de amenazas y vulnerabilidades
  • Clasificación y análisis de incidentes cibernéticos
  • Coordinación de los esfuerzos de respuesta y las estrategias de recuperación
  • Emisión de avisos, boletines y recomendaciones técnicas
  • Apoyo a campañas de concienciación y ejercicios de simulación
  • Entrenamiento a los operadores en prácticas seguras de gestión de incidentes 

 

Esta institucionalización de las funciones del CERT garantiza una mejor coordinación entre sectores y mejora la capacidad del país para detectar, contener y recuperarse de los ciberataques. 

 

Respuesta a Nuevas Amenazas: Ampliación del Código Penal 

Aunque la ley de ciberseguridad no tipifica directamente delitos, recomienda actualizar el Código Penal Federal para abordar amenazas emergentes, tales como: 

  • Ciberacoso en entornos educativos o laborales
  • Ataques a sistemas de infraestructuras críticas
  • Robo de identidad biométrica
  • Minería no autorizada de criptomonedas
  • Rescate de datos mediante cifrado (ransomware)
  • Uso poco ético de la inteligencia artificial 
 

Al actualizar su marco penal, México está fortaleciendo su capacidad para perseguir judicialmente las amenazas digitales que afectan a las personas, las empresas y la seguridad nacional. 

La nueva Ley de Ciberseguridad de México representa un hito importante en el ámbito jurídico y de política pública, al redefinir la ciberseguridad más allá de los aspectos técnicos para abordar la resiliencia nacional, la confianza ciudadana y los derechos humanos. 

Su enfoque integral, que combina la aplicación legal, la reforma institucional, las obligaciones basadas en el riesgo y la conciencia cívica, proporciona un modelo a seguir para otras naciones latinoamericanas. 

Para profesionales de la ciberseguridad, gestores de riesgos y responsables de políticas públicas más allá de las fronteras mexicanas, esta ley demuestra cómo construir marcos de defensa digital arraigados en valores democráticos, donde la privacidad, la resiliencia y la ciberseguridad se reconocen como derechos humanos fundamentales. 

RECURSOS

 

Are you ready to get started?