Zero Trust y el Plan Nacional de Ciberseguridad 2025-2030: Lo Que Tu PyME Debe Saber Ahora

El gobierno mexicano lanzó en diciembre de 2025 el Plan Nacional de Ciberseguridad 2025-2030, y con él una Política General de Ciberseguridad que ya es obligatoria para todas las dependencias federales. Aunque en apariencia esto solo afecta al sector público, la realidad es que sus efectos se están extendiendo rápidamente hacia las PyMEs que forman parte de la cadena de suministro del gobierno y de grandes corporativos.

El plan, impulsado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT), establece tres etapas de implementación:

1. 1Etapa 1 (2025-2026): Fundamentos — Publicación de la Política General, designación de responsables de ciberseguridad en cada dependencia y sistemas de alerta temprana.
2. 2Etapa 2 (2027-2028): Gestión de Riesgos — Consolidación del manejo de riesgos, simulacros anuales e integración de Inteligencia Artificial para detección avanzada.
3. 3Etapa 3 (2029-2030): Automatización y Certificación — Operación automatizada 24/7 y una estrategia nacional de certificación en ciberseguridad.

Uno de los ejes más importantes del plan es el eje 5: Identidad, Acceso y Zero Trust, alineado con el estándar NIST SP 800-207. Esto significa que el gobierno mexicano adoptará oficialmente el modelo de "nunca confíes, siempre verifica" en todos sus sistemas.

El eje 6 del plan —Cadena de Suministro y Terceros de Confianza— es el que más impacta a las empresas pequeñas y medianas. Las dependencias federales ahora deben acreditar controles sobre quién accede a sus sistemas, lo que significa que:

• Si tu empresa provee servicios de TI, nube, seguridad o telecomunicaciones al gobierno, serás evaluado bajo los nuevos criterios.
• Las grandes empresas que contratan con el gobierno impondrán estos mismos requisitos a sus proveedores PyME.
• Una futura Ley General de Ciberseguridad extenderá estas obligaciones a operadores de infraestructura crítica (energía, transporte, salud, telecomunicaciones).

El modelo Zero Trust parte de una premisa simple pero poderosa: ningún usuario, dispositivo o red es confiable por defecto, incluso si está dentro de la red corporativa. En lugar de asumir que todo lo que está "adentro" es seguro, Zero Trust verifica cada solicitud de acceso de forma continua.

Para una PyME, implementar Zero Trust no requiere una inversión millonaria. Los pasos básicos incluyen:

• Autenticación Multifactor (MFA) en todos los accesos críticos
• Principio de mínimo privilegio: cada empleado solo accede a lo que necesita
• Segmentación de red: separar sistemas críticos de los de uso general
• Monitoreo continuo de accesos y comportamientos inusuales
• Gestión de identidades con revisiones periódicas de permisos

México fue el segundo país más atacado en América Latina en 2024, con más de 324 mil millones de intentos de ataque. El costo promedio de un incidente para una PyME mexicana fue de 2.8 millones de pesos en 2025, y el 20% de las empresas que sufren un ataque grave cierran en menos de seis meses. Con el Mundial 2026 en puerta, las autoridades anticipan un incremento significativo en ataques geopolíticos y campañas de desinformación.