28/7/2021 México | Ciberseguridad

CIBERSEGURIDAD
Noticias de ciberseguridad, ciberataques, vulnerabilidades informáticas

MÉXICO

El coste de los incidentes de cibercrimen en el mundo pasó de 3 billones de dólares a

principios de 2015 a una previsión de 6 billones en 2021. A medida que el mundo se vuelve
más interconectado por el uso de redes digitales más rápidas y grandes, la Organización de
Estados Americanos (OEA) busca mejorar las políticas hemisféricas que protegen a los
gobiernos y la sociedad civil contra los ciberataques.

Además, el cibercrimen cuesta 575 millones de dólares al año, lo que representa el 0.5% del
PIB mundial y en América Latina cuesta hasta 90 millones de dólares al año.

La ciberseguridad, la sostenibilidad y la resiliencia no solo son necesarias para la protección de

México, también son factores importantes en su desarrollo social y económico. Cuando el 10%
de
la población de los países en desarrollo está conectada a Internet, el PIB del país crece entre
1% y 2%.
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.
La economía y la ubicación geoestratégica de México son un objetivo atractivo para las
actividades cibernéticas ilícitas. Por un lado, está
Valedisfrutando de una considerable inversión

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 1/12
28/7/2021 México | Ciberseguridad

extranjera directa y un sólido crecimiento del PIB y, por otro lado, sigue siendo relativamente
vulnerable en ciberseguridad y ciberseguridad.

México es el segundo país de América Latina con más ataques cibernéticos. Dado que el
57.4% de la población de México es usuaria de Internet, cerrar las brechas en su entorno de
ciberseguridad es una tarea importante.

El gobierno, el sector privado y la sociedad civil deben ser capaces de mantenerse al día con la
innovación constante en el sector de tecnología de la información (TI), tanto como usuarios
como posibles objetivos de ataques.

Mexico ocupa el segundo lugar después de Brasil entre los países que envían spam a la red.

Vamos a analizar la legislación y medidas de ciberseguridad existentes en México.

Indice 
Legislación
Estrategia Nacional de Ciberseguridad
Leyes relacionadas con el delito cibernético
Código penal Federal
Piratería
Phishing
Infección de sistemas informáticos con malware (incluidos ransomware, spyware, gusanos, troyanos
y virus)
Posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos
cibernéticos
Robo de identidad o fraude de identidad
Robo electrónico
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Sectores más afectados
Organismos
CERT-MX
Policía Federal
INAI
Medidas de ciberseguridad
Sector financiero
Tendencias

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio

Legislación
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 2/12
28/7/2021 México | Ciberseguridad

A continuación se incluye una lista de los principales estatutos y reglamentos que promueven
la ciberseguridad, incluidas las leyes aplicables al monitoreo, detección, prevención, mitigación
y gestión de incidentes:

Constitución mexicana;
Ley de Telecomunicaciones y Radiodifusión (FTBL);
Ley Federal de Protección de Datos Personales en poder de Particulares (Ley de Protección de
Datos), sus reglamentos, recomendaciones, directrices y reglamentos similares sobre
protección de datos;
Norma Federal de Transparencia y Acceso a la Información Pública;
Normas Generales como la Norma Oficial Mexicana con respecto a los requisitos que deben
observarse al guardar mensajes de datos;
Ley de instrumentos negociables y operaciones de crédito;
Código Tributario Federal mexicano;
Ley de Instituciones de Crédito;
Circular Única para Bancos;
Ley de Propiedad Industrial;
Ley mexicana de derechos de autor;
Código Penal Federal;
Norma de seguridad nacional;
Ley del Trabajo;
Ley de la Policía Federal;
Plan Nacional de Desarrollo 2013-2018;
Estrategia Nacional de Ciberseguridad 2017;
Programa Nacional de Seguridad Pública 2014-2018; y
Programa Nacional de Seguridad 2014-2018.

Estrategia Nacional de Ciberseguridad

La estrategia nacional de seguridad cibernética de México se desarrolló en colaboración con el
Comité Interamericano contra el Terrorismo. La estrategia subraya el compromiso de México
con
combatir el delito cibernético y reconoce la importancia de la información y la comunicación
tecnologías en el desarrollo político, social y económico de México.

La estrategia se basa en tres principios rectores: derechos humanos, gestión de riesgos y

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio

cooperación multidisciplinaria. asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 3/12
28/7/2021 México | Ciberseguridad

El documento se apoya en cinco objetivos estratégicos:

sociedad y derechos;
economía e innovación;
Instituciones públicas;
seguridad Pública; y
seguridad nacional

Con la implementación de este documento, México se une a otros seis países

latinoamericanos en el establecimiento de una estrategia nacional de seguridad cibernética.

Leyes relacionadas con el delito cibernético

No existe una definición de «cibercrimen» y «ciberseguridad» en la legislación mexicana, y
México aún no ha adoptado normas internacionales aplicables a los delitos cibernéticos.

No se requiere que las organizaciones tengan un conjunto mínimo de medidas de seguridad

cibernética, ni están obligados a informar incidentes a las autoridades, lo que hace que la
recolección de estadísticas sobre ciberataques sea muy difícil.

México no ha promulgado una legislación específica sobre ciberseguridad, aunque se incluyó

en el Código Penal Federal una regulación sobre delitos financieros, seguridad de la
información y el uso de tecnología en otros delitos, como terrorismo, secuestro y narcotráfico.

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 4/12
28/7/2021 México | Ciberseguridad

El 14 de abril de 2015, el Ministerio de Economía publicó en el Boletín Oficial de México, la

implementación de dos estándares oficiales mexicanos:

NMX-I-27001-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Sistemas de

Gestión de Seguridad de la Información -Requisitos, que reproduce las disposiciones
establecidas en la ISO / IEC 27001: 2013 Tecnología de la información-Técnicas de seguridad-
Sistemas de gestión de seguridad de la información-Requisitos;
NMX-I-27002-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Código de
Buenas Prácticas para el Control de la Seguridad de la información, que reproduce las
disposiciones establecidas en la ISO / IEC 27002: 2013 Information Technology-Security
Técnicas-Código de prácticas para los controles de seguridad de la información.

Estas normas oficiales mexicanas son obligatorias en México para todo tipo de organizaciones.

Código penal Federal

En el Código penal mexicano se regulan y penalizan una serie de ciberactividades entre las que
están:

Piratería
El Código Penal Federal establece que quien, sin autorización, modifique, destruya o cause la
pérdida de información contenida en sistemas o equipos informáticos protegidos por un
mecanismo de seguridad, recibirá una pena de prisión de seis meses a dos años, por la
autoridad
Utilizamos competente,
cookies asíque
para asegurar como unala multa.
damos La multaalpodría
mejor experiencia duplicarse
usuario en enSicaso
nuestra web. deutilizando
sigues que la este sitio
información se utilice para beneficio propio o para un tercero.
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 5/12
28/7/2021 México | Ciberseguridad

Phishing
Aquí, el Código Penal Federal no proporciona ninguna definición de phishing; sin embargo,
dicho delito podría considerarse fraude. Según el Código Penal Federal, una persona comete
fraude cuando maneja información mediante engaño, aprovecha errores o engaña a una
persona con la intención de obtener una ganancia financiera. En tal caso, la autoridad
competente impondrá una pena de prisión de tres días a 12 años, así como una multa.

Infección de sistemas informáticos con malware (incluidos ransomware, spyware, gusanos,

troyanos y virus)
El Código Penal Federal no proporciona ninguna definición para este delito. Sin embargo, este
tipo de comportamiento es similar a la piratería. Las sanciones mencionadas son aplicables en
este caso.

Posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos
cibernéticos
En este caso, se establece este delito penal como piratería, que se describe anteriormente.

Robo de identidad o fraude de identidad

La Ley de Instituciones de Crédito establece que una persona que produce, fabrica, reproduce,
copia, imprime, vende, intercambia o altera cualquier tarjeta de crédito, tarjeta de débito o, en
general, cualquier otro instrumento de pago, incluidos los dispositivos electrónicos, emitido
por las entidades de crédito, sin autorización del titular, recibirá una pena de prisión de tres a
nueve años, por parte de la autoridad competente, así como una multa.

Robo electrónico
Por ejemplo, abuso de confianza por parte de un empleado actual o anterior, o infracción penal
de derechos de autor. Se rige por la misma regulación anterior de la Ley de Instituciones de
Crédito. Las sanciones antes mencionadas podrían duplicarse si algún consejero, funcionario,
empleado o proveedor de servicios de cualquier institución de crédito comete el delito.

Además, actividades como el espionaje, la conspiración, los delitos contra los medios de
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
comunicación, la intercepción de comunicaciones,
asumiremos que estáslos
de actos de corrupción, la extorsión y el
acuerdo.
lavado de dinero podrían considerarse amenazas Vale
a la seguridad, confidencialidad, integridad o
disponibilidad de cualquier sistema informático, infraestructura o comunicaciones.
https://ciberseguridad.com/normativa/latinoamerica/mexico/ 6/12
28/7/2021 México | Ciberseguridad

El Código Penal Federal establece que una persona que, con o sin autorización, modifique,
destruya o cause la pérdida de información contenida en los sistemas de las instituciones de
crédito o en los equipos informáticos protegidos por un mecanismo de seguridad, recibirá una
pena de prisión de seis meses a cuatro años, así como una multa.

La Ley Federal de Protección de Datos Personales en Posesión de

los Particulares
Esta ley fue promulgada el 27 de enero de 2017, para establecer un marco legal para la
protección de datos personales por parte de cualquier autoridad, entidad u órgano de los
poderes ejecutivo, legislativo y judicial, partidos políticos y fondos fiduciarios y públicos que
operan a nivel federal, estatal y municipal. Esta publicación en particular está destinada a
abordar los problemas derivados de la protección de datos en el sector privado.

La ley exige a los controladores de datos la implementación de medidas de seguridad

administrativas, físicas y técnicas para proteger los datos personales contra pérdida, robo o
uso no autorizado y deben informar a los interesados ​de cualquier violación de seguridad.
Dichas medidas no serán inferiores a las utilizadas por los controladores de datos para
procesar su propia información.

Sectores más afectados

Existe un riesgo específico de la industria en ciertos sectores: sector financiero,
telecomunicaciones y salud, no solo del sector privado, sino también a nivel gubernamental.
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 7/12
28/7/2021 México | Ciberseguridad

El sector financiero ha estado trabajando activamente con el Oficial del Fiscal General (PGR),
que creó una unidad específica dedicada a la investigación de delitos cibernéticos, en
septiembre de 2017. Dicha unidad también está trabajando activamente con el Banco de
México para identificar y sancionar a todos los responsables de un ataque cibernético contra
varias instituciones financieras en el sistema de pagos electrónicos interbancarios del banco.

Organismos
Los principales organismos con competencias en materia de ciberseguridad en México son:

CERT-MX
El Equipo de Respuesta a Incidentes de Seguridad Informática del país, CERT-MX, es un
miembro del Foro Mundial de Respuesta a Incidentes y Equipos de Seguridad (FIRST) y sigue
un Protocolo de Colaboración con otras entidades gubernamentales.

El CERT- MX está muy involucrado en la protección de la Infraestructura Crítica Nacional (ICN).

Los interesados coordinan la gestión de seguridad de infraestructuras y comparten
información sobre los activos y las vulnerabilidades de la ICN.

En todas las agencias gubernamentales, las tecnologías se actualizan regularmente, se

realizan copias de seguridad y se adhiere a las disposiciones del Manual Administrativo de
Aplicación
Utilizamos General
cookies de Tecnologías
para asegurar que damos de Información
la mejor experienciayalComunicaciones y deSiSeguridad
usuario en nuestra web. de laeste sitio
sigues utilizando

Información (MAAGTICSI), el cual se desarrolló con base a normas internacionales como ISO
asumiremos que estás de acuerdo.

27001, y COBIT, entre otras. Por otra parte, están Vale en marcha planes de redundancia digital.

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 8/12
28/7/2021 México | Ciberseguridad

Policía Federal
La División Científica de la Policía Federal de México investiga los delitos cibernéticos
nacionales. Trabaja en estrecha colaboración con el CERT-MX y ha recibido capacitación por
parte de organizaciones sin ánimo de lucro y de varias organizaciones internacionales.

Además, Los fiscales públicos en México están a cargo de investigar las actividades
cibernéticas y para resolverlas, se ha creado una policía cibernética para dar seguimiento a los
delitos o actividades ilegales cometidas a través de Internet. Las quejas dirigidas a la policía
cibernética pueden enviarse a través de su sitio web, por teléfono o mediante una cuenta de
Twitter o correo electrónico

Informes recientes indican un aumento de la suplantación de identidad (phishing) y amenazas

persistentes avanzadas en el país y una disminución de los ataques de denegación de servicio
DoS. Si bien las fuerzas del orden cuentan con una amplia capacidad de investigación, México
aún está desarrollando una legislación integral sobre delincuencia cibernética, lo que dificulta
el enjuiciamiento de tales actos.

INAI
El INAI es la autoridad federal encargada de supervisar el debido cumplimiento de la
legislación de protección de datos en México y está facultada para evaluar si el incidente que
originó una violación de datos fue causado por un incumplimiento o negligencia. El INAI está a
cargo de:

garantizar a las personas el derecho de acceso a la información del gobierno público;

proteger los datos personales en posesión del gobierno federal y las personas; y
resolver denegaciones de acceso a la información que las dependencias o entidades del
gobierno federal han formulado.

Medidas de ciberseguridad
De acuerdo con las leyes mexicanas (específicamente, la Ley de Privacidad de México), las
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.
organizaciones están obligadas a implementar medidas correctivas, preventivas y de mejora
para hacer que las medidas de seguridad seanVale
adecuadas para evitar una violación.
https://ciberseguridad.com/normativa/latinoamerica/mexico/ 9/12
28/7/2021 México | Ciberseguridad

Las organizaciones deberían poder diferenciar entre daños materiales y no materiales según
las leyes mexicanas mediante un análisis de riesgos.

El daño material debe priorizarse sobre el daño no material y siempre dependerá del negocio,
el alcance, el contexto y el procesamiento de los datos comprometidos en el incidente.

La identificación de riesgos específicos de la industria de daños materiales y no materiales es,

por lo tanto, crucial para todas las empresas que enfrentan un incidente de ciberseguridad.
Ciertos sectores, como la sanidad y la banca, deberían proporcionar a las empresas la libertad
necesaria para adaptar sus propias políticas internas.

Las siguientes son algunas de las medidas de seguridad que las empresas deben implementar:

llevar a cabo un mapeo de datos para identificar los datos personales que están sujetos a
procesamiento y los procedimientos que involucran el procesamiento;
establecer las publicaciones y funciones de esos oficiales involucrados en el procesamiento de
información;
identificar riesgos y llevar a cabo una evaluación de riesgos;
implementar medidas de seguridad;
llevar a cabo un análisis de brechas para verificar aquellas medidas de seguridad para las
cuales la implementación aún está pendiente;
desarrollar un plan para implementar aquellas medidas de seguridad que aún están
pendientes;
implementar auditorías;
realizar capacitación para los oficiales involucrados en el procesamiento;
tener un registro de los medios utilizados para almacenar la información; y
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
establecer un procedimiento paraasumiremos
anticipar yquemitigar
estás delosacuerdo.
riesgos derivados de la
implementación de nuevos productos, servicios, Vale
tecnologías y planes comerciales al procesar
información.
https://ciberseguridad.com/normativa/latinoamerica/mexico/ 10/12
28/7/2021 México | Ciberseguridad

Sector financiero
El Estudio de Ciberseguridad incluye recomendaciones de ciberseguridad para el sistema
financiero en México, que incluyen:

Preparación y gobierno: tener un organismo responsable u organismo de gobierno corporativo

para dirigir la seguridad de la información y la prevención del fraude utilizando medios
digitales;
Detección y análisis de eventos de seguridad digital: priorizando el desarrollo de capacidades
utilizando tecnologías digitales emergentes, como Big Data, inteligencia artificial y tecnologías
relacionadas;
Gestión, respuesta, recuperación y notificación de incidentes de seguridad digital: investigar el
origen de un incidente y garantizar el diseño e implementación de políticas o procesos para su
contención, respuesta y recuperación;
Capacitación y sensibilización: proporcionar planes de capacitación y llevar a cabo campañas
de prevención; y
Autoridades del sistema financiero y organismos reguladores: emisión de directrices,
recomendaciones e instrucciones sobre mejores prácticas de seguridad digital y verificación
de la provisión de mecanismos de presentación de informes.

Tendencias
El 7 de noviembre de 2017, miembros de la Cámara de Diputados propusieron una iniciativa
legal con el objetivo de introducir disposiciones específicas en el sistema penal federal, así
como adoptar la Convención sobre Cibercrimen (Convención de Budapest) para México ser
parte de una red global de países dedicados a asegurar la información en el ciberespacio y
usarla como la base de todas las reformas legales requeridas.

Actualmente, el Código Penal Federal establece delitos relacionados con sistemas de TI

protegidos por medidas de seguridad. Sin embargo, tiene fallos que van desde la ausencia de
una definición específica para los términos sistemas de seguridad y cibercrimen (este último
solo se define en la Estrategia Nacional de Ciberseguridad, cuyas disposiciones no son
vinculantes hasta que se conviertan en leyes) , al ciberacoso o al malware que no se trata como
delito.
Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 11/12
28/7/2021 México | Ciberseguridad

En particular, la iniciativa legal tiene la intención de designar como delito cibernético la

siguiente conducta: piratería, phishing, robo de identidad, pornografía infantil o acicalamiento y
fraude cibernético; así como para incorporar en el Código Nacional de Procedimientos Penales
los pasos de investigación necesarios para obtener evidencia almacenada digitalmente para
preservar datos y obtener dichos datos, al tiempo que protege los datos personales y colabora
eficazmente con otras jurisdicciones para cumplir con la transferencia de datos y otras
restricciones de procesamiento.

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio
asumiremos que estás de acuerdo.

Vale

https://ciberseguridad.com/normativa/latinoamerica/mexico/ 12/12