¿Cómo puede responder una organización con madurez?
Muchas empresas en México siguen esperando “la nueva Ley de Ciberseguridad” como si el riesgo legal empezara el día en que aparezca un solo ordenamiento con ese nombre. Ese enfoque ya nació viejo. En 2026, el entorno regulatorio mexicano en realidad se está moviendo por varios carriles al mismo tiempo: obligaciones vigentes en protección de datos personales, deberes de seguridad y notificación, y además iniciativas legislativas activas para construir un marco más amplio en materia de ciberseguridad. En paralelo, la Agencia de Transformación Digital y Telecomunicaciones ha planteado tres frentes concretos: un marco normativo claro y medible, Centros Nacionales de Ciberseguridad y un programa integral de resiliencia gubernamental.
Eso significa que el primer error de una empresa no es “no conocer la nueva ley”, sino suponer que puede esperar sin consecuencias. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares ya obliga a los responsables a establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales. La misma ley establece que deben considerarse el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico. Y además, cuando una vulneración de seguridad afecte de forma significativa los derechos patrimoniales o morales de las personas titulares, debe informarse de forma inmediata.
Traducido al lenguaje de negocio: no basta con tener herramientas. Hace falta poder demostrar criterio de control, trazabilidad, responsables, tiempos de respuesta y evidencia. Ese punto es el que muchas organizaciones todavía subestiman. Siguen operando como si el cumplimiento fuera un documento, cuando en realidad ya es una capacidad operativa. Y cuando esa capacidad falla, el problema deja de ser técnico para convertirse en una combinación incómoda de exposición legal, interrupción operativa y desgaste reputacional.
La señal internacional va exactamente en la misma dirección. NIST CSF 2.0 reorganizó la conversación alrededor de seis funciones e incorporó Govern como función formal, poniendo la estrategia, las responsabilidades, la supervisión y la gestión del riesgo en el centro del modelo. NIS2, por su parte, exige que los órganos de dirección aprueben las medidas de gestión del riesgo de ciberseguridad, supervisen su implementación y puedan ser responsabilizados por incumplimientos. No es un detalle técnico: es un mensaje directo para consejos, comités y direcciones generales.
El error más costoso: esperar una sola ley para actuar
La pregunta correcta no es si México ya tiene una única Ley General de Ciberseguridad plenamente consolidada. La pregunta correcta es si tu empresa ya opera como si la regulación, la evidencia y la supervisión fueran exigibles desde hoy. Porque, en los hechos, ya lo son. Hay iniciativas legislativas en curso y una intención pública clara de formalizar un marco nacional más robusto, pero la exposición empresarial no está en pausa mientras eso ocurre.
| Tema | Lo que muchas empresas creen | Lo que realmente implica en 2026 | Riesgo para el negocio |
| Marco legal | “Hasta que salga una sola ley, no hay urgencia” | Ya existen obligaciones vigentes en protección de datos, seguridad y atención a incidentes | Exposición legal por omisión |
| Brecha de datos | “Con contener el incidente basta” | Puede existir obligación de informar de forma inmediata a personas afectadas | Sanciones, reclamos y desgaste reputacional |
| Seguridad | “Con firewall y antivirus estamos cubiertos” | También se exigen medidas administrativas, técnicas y físicas proporcionales al riesgo | Falta de trazabilidad y evidencia |
| Consejo directivo | “Esto le toca a TI” | El gobierno del riesgo ya es tema de dirección y supervisión | Decisiones incompletas y mala asignación de presupuesto |
| Cumplimiento | “Es un checklist documental” | Sin operación y evidencia, no es defendible | Auditorías débiles y control aparente |
| Terceros | “El proveedor responde por su parte” | El impacto también cae sobre la empresa contratante | Riesgo en cadena de suministro y accesos |
¿Qué obligaciones ya existen y por qué sí aplican a tu empresa?
El punto más ignorado suele ser muy simple: la ley ya exige proteger datos con medidas proporcionales y actuar frente a vulneraciones significativas. También prevé sanciones y, en ciertos supuestos, consecuencias penales. La LFPDPPP establece penas de tres meses a tres años de prisión para quien, estando autorizado para tratar datos personales y con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia, así como de seis meses a cinco años para quien trate datos personales mediante engaño con fines de lucro indebido.
Por eso, reducir el tema a “cumplir con privacidad” o “reforzar antivirus” es una lectura demasiado corta. Lo que hoy se necesita es una arquitectura de control que conecte gobierno, identidades, monitoreo, terceros, continuidad y respuesta. En otras palabras: pasar de seguridad como compra tecnológica a seguridad como capacidad de dirección. Ese es precisamente el terreno donde Pulse puede diferenciarse, no prometiendo más alarmas, sino ayudando a construir una postura gobernable y defendible. Lo que el consejo directivo debe entender hoy
El consejo no necesita memorizar artículos de ley; necesita entender exposición. Debe preguntar qué datos críticos se tratan, qué terceros acceden a ellos, qué evidencias existen de control, cuánto tarda la organización en detectar una desviación y quién decide cuándo escalar, contener y notificar. Ahí empieza el verdadero gobierno de ciberseguridad. Y ahí también se separan las empresas que “creen estar cubiertas” de las que de verdad están preparadas.
FAQ
- ¿México ya tiene una sola Ley de Ciberseguridad vigente para todas las empresas? No de forma única y consolidada. Pero sí existen obligaciones vigentes en protección de datos y seguridad, además de iniciativas activas para ampliar el marco de ciberseguridad.
- ¿Qué debe hacer una empresa cuando ocurre una vulneración de seguridad? Debe contener el incidente, documentar evidencia, evaluar el impacto y, cuando la afectación sea significativa para las personas titulares, informarles de forma inmediata.
- ¿Por qué esto ya no es sólo un asunto de TI? Porque el marco de referencia actual, tanto legal como de gobierno, exige supervisión, responsables claros y decisiones de dirección, no sólo controles técnicos.
