El año pasado fui víctima de un par de fraudes cibernéticos. Nada grave, por fortuna. Pero suficiente para quedarme —como tantos— en estado de alerta permanente. Mensajes falsos del SAT, de paqueterías, del propio gobierno de la CdMx. La sensación es clara: nadie está a salvo.
Un documental reciente del Financial Times terminó de darme una idea más precisa de la magnitud del fenómeno: el cibercrimen dejó de ser hace tiempo una molestia cotidiana para convertirse en una industria global de gran escala. Su valor estimado para este año asciende a 20 trillones de dólares. Apenas por debajo del PIB proyectado de China en 2026. No estamos hablando de delitos dispersos. Estamos hablando de una economía criminal trasnacional, altamente sofisticada, organizada y en expansión acelerada.
El cibercrimen no es una categoría abstracta. Tiene rostro, métodos y mercados. Incluye hacking, phishing, ransomware. Va desde el fraude individual hasta ataques coordinados contra gobiernos, empresas y sistemas críticos. Roba dinero, sí, pero también datos, identidad, reputación y confianza. Y en sus versiones más graves, puede paralizar infraestructuras enteras: redes eléctricas, sistemas de salud, transporte o servicios financieros.
Sus costos son múltiples y acumulativos: pérdidas económicas, destrucción de información, interrupción de servicios, daño reputacional. Pero hay uno más profundo y menos visible: la erosión de la confianza en lo digital. Y en un mundo en el que cada vez más aspectos de la vida —trabajo, finanzas, comunicación, gobierno— pasan por lo digital, esa erosión tiene implicaciones sistémicas.
La pandemia de covid-19 aceleró este proceso. Digitalizó la vida cotidiana a una velocidad sin precedentes y, con ello, amplió exponencialmente la superficie de ataque. A esa transformación se han sumado dos motores adicionales: por un lado, la industrialización del cibercrimen como servicio —plataformas que permiten a actores con baja especialización ejecutar ataques sofisticados—; por otro, el uso creciente de inteligencia artificial, que multiplica la escala, precisión y personalización de los ataques.
El resultado es un cambio cualitativo: el cibercrimen ya no es sólo más frecuente, es más barato de ejecutar, más difícil de rastrear y más rentable.
En este contexto, América Latina se ha convertido en una de las regiones más vulnerables del mundo. De acuerdo con el Banco Mundial, es la región con mayor crecimiento en incidentes cibernéticos reportados —25 por ciento anual en la última década— y, al mismo tiempo, la peor preparada para enfrentarlos. La combinación es explosiva: más ataques, menos defensa.
México no es una excepción. Es, en varios sentidos, un caso paradigmático. De acuerdo con el propio diagnóstico del Plan Nacional de Ciberseguridad 2025-2030, México ocupa el segundo lugar en América Latina en número de víctimas de ransomware expuestas en la dark web. El volumen de ciberataques crece a tasas cercanas a 80 por ciento anual. Y siete de cada diez dependencias federales presentan vulnerabilidades de alto riesgo.
Los sectores más afectados no son periféricos: son el financiero, el gubernamental y el manufacturero. Los ataques recientes a la Sociedad Hipotecaria Federal, al SAT y al IMSS no son anomalías. Son síntomas de un problema estructural. A ello se suma la alta vulnerabilidad de las pequeñas y medianas empresas, que concentran buena parte de la actividad económica, pero carecen de capacidades y recursos para protegerse.
La pregunta es inevitable: ¿por qué somos tan vulnerables? La respuesta no es principalmente tecnológica, sino estructural. Tiene que ver con cuatro déficits persistentes: baja capacitación de usuarios, uso extendido de sistemas obsoletos, inversión insuficiente en ciberseguridad y escasez de especialistas. Todo ello ocurre en un contexto de rápida digitalización del comercio, las finanzas y la vida social.
En otras palabras: la exposición crece mucho más rápido que la capacidad de defensa. Pero hay una dimensión adicional que suele pasar desapercibida: la del Estado. El cibercrimen pone en evidencia no solo fallas técnicas, sino limitaciones de capacidad estatal. Regular, prevenir, investigar y sancionar delitos en el ciberespacio exige coordinación interinstitucional, marcos normativos actualizados, capacidades tecnológicas avanzadas y cooperación internacional. Ninguna de estas condiciones está plenamente desarrollada en México.
Esto genera una paradoja preocupante: mientras el crimen se globaliza, se especializa y se digitaliza, la respuesta institucional sigue siendo fragmentada, reactiva y, en muchos casos, analógica.
México cuenta ya con un Plan Nacional de Ciberseguridad. Es un paso necesario, pero claramente insuficiente frente a la velocidad y sofisticación del fenómeno. La brecha entre la amenaza y la capacidad de respuesta no se está cerrando; por el contrario, parece ampliarse.
Y esa brecha tiene consecuencias. No sólo en términos económicos o de seguridad, sino también en términos de gobernabilidad. Un entorno digital inseguro debilita la confianza en las instituciones, afecta la operación de servicios públicos y genera nuevas formas de vulnerabilidad para ciudadanos y empresas.
La pregunta ya no es si el cibercrimen seguirá creciendo. Eso es un hecho. La pregunta es otra: ¿cuánto tiempo más puede México darse el lujo de reaccionar tarde en un mundo donde los ataques ocurren en tiempo real?
