México lleva años construyendo su arquitectura de ciberseguridad de manera fragmentada: leyes sectoriales, disposiciones del Código Penal Federal, regulaciones fintech y acuerdos administrativos que no siempre dialogan entre sí. Eso está por cambiar. La iniciativa para expedir una Ley General de Ciberseguridad, presentada ante el Congreso, establece por primera vez un marco jurídico integral que distribuye responsabilidades entre la Federación, las entidades federativas, los municipios y las alcaldías de la Ciudad de México. Para los gobiernos locales, la pregunta ya no es si tendrán obligaciones formales en ciberseguridad, sino cuándo y con qué capacidad las van a cumplir.
Un marco que involucra a todos los niveles de gobierno
La propuesta legislativa define la ciberseguridad como una vertiente de la seguridad pública, lo que tiene implicaciones directas para los presupuestos y estructuras organizativas de estados y municipios. Según el texto de la iniciativa, la función de ciberseguridad es responsabilidad compartida del gobierno federal en colaboración con las entidades federativas, los municipios y las alcaldías, orientada a la prevención, investigación y persecución de ciberdelitos, así como a la protección de personas frente a ciberriesgos y ciberataques.
Esto significa que la ciberseguridad deja de ser un tema exclusivo de la Secretaría de Seguridad y Protección Ciudadana (SSPC) o de la Guardia Nacional. Los gobiernos estatales y municipales tendrán un rol activo, con atribuciones propias y canales de coordinación obligatorios con las autoridades federales.
Lo que los estados y municipios pueden —y deberán— hacer
La iniciativa abre al menos cuatro líneas de acción concretas para los gobiernos locales:
-
Convenios de colaboración con la SSPC para impartir cursos sobre medidas preventivas de ciberseguridad, dirigidos a vecinos, comunidades, grupos educativos, empresariales y laborales dentro de cada demarcación territorial.
-
Fiscalías especializadas en delitos cibernéticos a nivel local, adscritas a las fiscalías generales de justicia de cada entidad, con facultades para investigar y perseguir ciberdelitos en el ámbito estatal e intervenir en todas las etapas del procedimiento penal.
-
Participación en la red de colaboradores comunitarios en ciberseguridad, un mecanismo de base territorial que busca articular a ciudadanos, organizaciones civiles y servidores públicos locales en la prevención de ciberincidentes cotidianos.
-
Acceso a estadísticas oficiales coordinadas por la SSPC, que concentrarán datos de instituciones públicas y privadas sobre tipos de riesgos, lugares, periodicidad e incidencia, lo que permitirá a los estados diseñar políticas públicas más precisas.
El diagnóstico que hace urgente actuar ahora
México enfrenta un escenario de amenaza creciente. La criminalidad digital se ha sofisticado al punto de que, a mediados de 2026, las alertas sobre amenazas a servicios públicos y ciudadanos han escalado de manera sostenida. Al mismo tiempo, la gran mayoría de los municipios del país carece de áreas especializadas en tecnología de la información, protocolos de respuesta a incidentes o inventarios actualizados de sus activos digitales.
Esta brecha es el principal riesgo: cuando la Ley General entre en vigor, muchos gobiernos locales estarán legalmente obligados a cumplir con estándares que hoy no tienen ni la infraestructura ni el personal para alcanzar. La experiencia de países que ya transitaron este camino —como Chile, que creó su Agencia Nacional de Ciberseguridad con un esquema de cumplimiento progresivo para organismos del Estado— muestra que el tiempo de preparación es determinante para que la implementación sea real y no solo formal.
Tres pasos que cualquier gobierno local puede dar hoy
No es necesario esperar a que la ley sea publicada en el Diario Oficial de la Federación para comenzar. Hay acciones concretas, de bajo costo y alto impacto, que cualquier administración estatal o municipal puede iniciar:
-
Realizar un diagnóstico de madurez digital: identificar qué sistemas críticos operan (padrón de contribuyentes, registro civil, catastro, servicios en línea) y cuál es su nivel de protección actual.
-
Designar un responsable de ciberseguridad institucional: no tiene que ser un área nueva; puede ser una función asignada formalmente dentro de las Direcciones de Tecnologías de la Información existentes.
-
Establecer un protocolo básico de respuesta a incidentes: un documento que defina qué hacer, quién decide y a quién se notifica en caso de un ataque, filtración de datos o caída de sistemas críticos.
El momento de la ventaja competitiva institucional
En México, como en cualquier proceso de reforma regulatoria, los gobiernos que se adelantan a cumplir tienen una ventaja real: acceden antes a recursos federales, fortalecen su credibilidad ante ciudadanos e inversionistas, y evitan las sanciones y el daño reputacional que suelen acompañar a los que se quedan rezagados. La Ley General de Ciberseguridad no es una amenaza para los gobiernos locales: es una oportunidad para profesionalizar una función que, en el mundo actual, ya debería ser parte del ADN de cualquier administración pública.
Los estados y municipios que comiencen a prepararse hoy —con diagnósticos, designación de responsables y protocolos básicos— estarán en posición de liderar cuando la ley entre en vigor. Los que esperen a que el marco legal sea obligatorio, empezarán en desventaja.
ciberseguridad Delitos cibernéticos estados Gobierno Digital gobierno local Ley General de Ciberseguridad municipios Policía cibernética sector público Seguridad pública digital SSPC transformación digital
Last modified: 21 de mayo de 2026
