Una empresa mexicana de servicios financieros que sufre una brecha de datos puede enfrentar simultáneamente una investigación del INAI por la LFPDPPP, una sanción de la CNBV por incumplimiento de sus disposiciones de seguridad, y una revisión de la Condusef si hay afectación a usuarios. Tres reguladores distintos, tres marcos distintos, un mismo incidente.
Eso es el panorama regulatorio de ciberseguridad en México hoy: no una ley, sino un mosaico de obligaciones que se activan según el sector, el tipo de datos que manejas y el tamaño de tu operación. Entenderlo no es optativo. Es la diferencia entre gestionar el riesgo regulatorio o ser sorprendido por él.
Lo que ya existe y aplica hoy
La columna vertebral del marco vigente es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), actualizada en marzo de 2025. Aplica a toda organización privada que recoja, trate, almacene o transfiera datos personales de personas en México, sin importar su tamaño o sector. Su Artículo 18 renovado define tres tipos de medidas de seguridad que las organizaciones deben implementar: administrativas, físicas y técnicas. No es suficiente tener un aviso de privacidad en el sitio web. La ley exige un programa de gestión de riesgos sobre datos personales con controles documentados y demostrables.
Para el sector financiero, la CNBV suma sus propias obligaciones. Las disposiciones de carácter general para instituciones de crédito, casas de bolsa y entidades fintech establecen requisitos específicos de ciberseguridad: gestión de riesgos tecnológicos, controles de acceso, auditorías periódicas y mecanismos de continuidad operativa. La CNBV ha señalado explícitamente que hacia 2026 avanzará en supervisión basada en riesgos con expectativas de que todas las instituciones cuenten con capacidades robustas. La Circular Única de Ciberseguridad en desarrollo busca homologar ese estándar mínimo en todo el sistema financiero. Para entidades fintech, la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) suma requisitos adicionales de seguridad y auditorías de ciberseguridad periódicas.
El Código Penal Federal tipifica delitos informáticos relevantes para las organizaciones: acceso no autorizado a sistemas, alteración o destrucción de datos, y uso indebido de dispositivos. Esto importa porque un incidente mal gestionado —donde no se pueda demostrar que existían controles razonables— puede derivar en implicaciones penales para directivos responsables, no solo en sanciones a la empresa.
Lo que viene: la Ley Federal de Ciberseguridad
La iniciativa de la Ley Federal de Ciberseguridad (LFC), presentada en 2023 y cuya promulgación se espera antes de que finalice 2026, representa el cambio más significativo del entorno regulatorio en años. Su propósito declarado es unificar el mosaico actual bajo un solo marco con autoridad nacional.
Los elementos centrales de la propuesta incluyen la creación de una Autoridad Nacional de Ciberseguridad (ANSC), la clasificación obligatoria de activos críticos, la obligatoriedad de planes de respuesta a incidentes documentados, y lo que más impacto tendrá en las operaciones diarias: la obligación de reportar brechas a la ANSC dentro de un plazo definido. Sanciones vinculadas a porcentaje de facturación global, al estilo del GDPR europeo, están en la mesa de discusión. Esperar a que se publique en el Diario Oficial para empezar a prepararse es, en palabras simples, llegar tarde.
¿Qué hacer al respecto?
El primer paso es mapear qué regulaciones te aplican hoy. Si manejas datos personales de clientes o empleados —que es prácticamente cualquier empresa—, la LFPDPPP es obligatoria y ya fue actualizada. Si operas en el sector financiero, las disposiciones de la CNBV tienen requisitos técnicos específicos que van más allá de un aviso de privacidad.
El segundo paso es documentar. La mayoría de los reguladores mexicanos no exigen perfección técnica; exigen evidencia de diligencia razonable. Tener un programa de gestión de riesgos documentado, políticas actualizadas, registros de auditoría y un plan de respuesta a incidentes por escrito es lo que separa a las organizaciones que contienen su exposición regulatoria de las que quedan vulnerables en una investigación.
El tercer paso es anticipar la LFC, no reaccionar a ella. Las organizaciones que están construyendo hoy sus capacidades de clasificación de activos, planes de respuesta y mecanismos de reporte tendrán una ventaja significativa cuando la ley entre en vigor. Las que esperen enfrentarán el doble costo de implementar bajo presión y de operar sin ventana para corregir errores.
La pregunta que vale hacerse
Si el INAI o la CNBV iniciaran una revisión de tu organización mañana, ¿tendrías la documentación para demostrar que cuentas con controles razonables sobre los datos que manejas? Si la respuesta genera dudas, ese es el punto de partida.
Acciones inmediatas
- Identifica qué regulaciones te aplican hoy, por sector y tipo de datos. LFPDPPP es universal para empresas privadas. Si operas en finanzas, tecnología financiera o telecomunicaciones, tienes capas adicionales. Ese mapa de obligaciones es el punto de partida para cualquier programa de cumplimiento.
- Revisa si tu aviso de privacidad y programa de datos personales refleja la actualización de marzo 2025 de la LFPDPPP. El Artículo 18 renovado exige controles técnicos, físicos y administrativos documentados. Si tu programa no ha sido actualizado desde la versión original de 2010, hay una brecha de cumplimiento que atender.
- Documenta tu plan de respuesta a incidentes aunque sea en versión básica. La LFC en desarrollo exigirá planes formales. Tener uno operativo antes de que sea obligatorio cumple dos objetivos: reduce el riesgo operativo hoy y anticipa el requisito regulatorio de mañana. Un documento imperfecto es mejor que ninguno.
- Asigna un responsable formal de protección de datos y ciberseguridad. La LFPDPPP ya contempla la figura de responsable del tratamiento con obligaciones específicas. Si ese rol no tiene nombre y apellido en tu organización, hay exposición regulatoria directa.
- Incluye el seguimiento de la LFC en tu agenda trimestral. La ley puede promulgarse en cualquier momento antes de que finalice 2026. Designa a alguien en tu equipo —o en tu área legal— para dar seguimiento al avance legislativo y preparar un análisis de impacto en cuanto se publique el texto definitivo.
Si tu organización necesita evaluar su postura de cumplimiento regulatorio o prepararse para la Ley Federal de Ciberseguridad, podemos ayudarte a construir ese camino. Contáctanos en https://tbsek.mx/contacto/.
