Técnico Académico del Instituto de Investigaciones Sociales de la UNAM
Introducción

En la era digital, la existencia de marcos normativos robustos contra los delitos informáticos es crucial para proteger la seguridad de personas e instituciones. El acelerado avance tecnológico ha dado lugar a nuevas formas de conducta ilícita que representan retos importantes para el sistema legal (Monreal Ávila, 2025). En México, la incidencia de ciberdelitos ha aumentado vertiginosamente: tan solo en 2023, el 34% de las empresas mexicanas reportaron haber sufrido ataques informáticos, generando pérdidas económicas superiores a 2,200 millones de pesos (Ochoa Serafín, 2024). Además, se calcula que durante el primer semestre de 2024 se registraron 31 mil millones de intentos de ataques cibernéticos en el país, más de la mitad de todos los ocurridos en América Latina (Congreso de la Ciudad de México, 2025). Estas cifras reflejan la magnitud del desafío y la urgencia de contar con leyes adecuadas.

Figura 1: Principales ciberdelitos identificados por la Secretaría de Seguridad y Protección Ciudadana de México (infografía oficial de SSPC).
A pesar de algunos avances legislativos, México carece aún de una ley integral de ciberseguridad, y persisten vacíos legales frente a amenazas emergentes (Portal TIC UNAM, 2023; Ochoa Serafín, 2024). Conceptos como el ciberacoso laboral/escolar, la manipulación de apuestas en línea o el uso malicioso de deepfakes no están todavía debidamente tipificados (Ochoa Serafín, 2024). Los marcos jurídicos vigentes –dispersos en el Código Penal, leyes especiales y reglamentos– deben evolucionar continuamente para abarcar estas nuevas conductas ilícitas. En este contexto, resulta vital analizar las leyes y regulaciones que rigen los delitos informáticos en México, desde su origen hasta 2025, así como las políticas locales y sectoriales, los cuerpos especializados en ciberdelincuencia y casos reales que ilustran la aplicación de dichas normas. Solo entendiendo el panorama normativo completo se podrán recomendar medidas técnicas y legales integrales para fortalecer la ciberseguridad nacional.
Marco legal nacional sobre delitos informáticos
Leyes federales vigentes: México incorporó por primera vez figuras delictivas informáticas en su legislación federal en 1999 (Ochoa Serafín, 2024). El Código Penal Federal (CPF) es el pilar normativo principal contra los ciberdelitos (Ochoa Serafín, 2024), incluyendo disposiciones específicas para sancionar el acceso ilícito a sistemas de cómputo, la sabotaje o destrucción de datos y otras conductas relacionadas con tecnologías de la información (Ochoa Serafín, 2024). Por ejemplo, el artículo 211 bis del CPF tipifica como delito el acceso no autorizado a sistemas informáticos, penalizando a quien modifique, destruya o provoque pérdida de información en sistemas protegidos (Ochoa Serafín, 2024). Asimismo, los artículos 211 bis 1 y 211 bis 2 agravan las penas cuando estas intrusiones afectan sistemas del Estado o de seguridad pública (Ochoa Serafín, 2024). En tales casos, las sanciones pueden alcanzar hasta 10 años de prisión, especialmente si el responsable es un servidor público y se comprometen infraestructuras críticas (Ochoa Serafín, 2024). Estas reformas, introducidas desde finales de los 90 y fortalecidas en décadas posteriores, han permitido perseguir delitos como el hacking (acceso indebido a datos), el phishing (fraude digital) y el sabotaje informático dentro del marco penal mexicano.
El CPF también contempla delitos tradicionales adaptados al entorno digital. Por ejemplo, los artículos 210 y 211 sancionan la revelación indebida de secretos o información confidencial, protegiendo datos privados cuya divulgación sin consentimiento cause perjuicio (Ochoa Serafín, 2024). De igual forma, se penaliza la interceptación de comunicaciones privadas y el uso no autorizado de imágenes o contenidos obtenidos de ellas, con penas de 6 a 12 años de prisión Otras conductas tipificadas incluyen la suplantación de identidad, diversos fraudes electrónicos y la alteración de medios de identificación digital (Justia México, 2020). Cabe destacar que algunos ilícitos informáticos se contemplan en leyes especiales fuera del código penal: la Ley de Instituciones de Crédito, la Ley del Mercado de Valores, la Ley de Instituciones de Seguros y Fianzas, entre otras, contienen figuras penales para castigar fraudes financieros, falsificación de documentos electrónicos e intrusiones en sistemas del sector bancario (Justia México, 2020). Del mismo modo, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) tipifica y sanciona el manejo indebido de datos personales en el sector privado (Justia México, 2020), estableciendo medidas contra quienes trafican o lucran con información personal sin autorización.
Protección de datos y ciberacoso: En años recientes, México ha reforzado su marco jurídico para atender la violencia digital y la protección de la intimidad en línea. Un hito importante fue la aprobación de la llamada Ley Olimpia –un conjunto de reformas impulsadas por un movimiento ciudadano– dirigida a combatir la difusión no autorizada de contenido íntimo (conocida coloquialmente como “pornografía no consentida” o revenge porn). A nivel federal, en 2021 se publicó un decreto que reformó diversas disposiciones del CPF y de la Ley General de Acceso de las Mujeres a una Vida Libre de Violencia, reconociendo la violencia digital como una modalidad de violencia de género (Ochoa Serafín, 2024). Estas reformas tipificaron explícitamente como delito la difusión, producción o intercambio de imágenes, videos o audios de contenido íntimo sin consentimiento de la persona afectada (Ochoa Serafín, 2024). Asimismo, se sancionó el ciberacoso sexual y la invasión de dispositivos electrónicos con el fin de obtener material privado. Las penas por estas conductas pueden llegar a 6 años de prisión, además de multas, dependiendo de la gravedad y el daño causado (Ochoa Serafín, 2024). La Ley Olimpia marcó un precedente a nivel nacional al reforzar el derecho a la privacidad digital y visibilizar legalmente este tipo de violencia, lo que llevó a que 29 estados de la República adoptaran figuras similares en sus códigos penales locales para 2021 (Beristain Abogados, 2021).
A pesar de contar con varios instrumentos legales, expertos señalan que persisten áreas sin regular plenamente. Por ejemplo, México aún no ha promulgado una ley general de ciberseguridad que articule de forma integral la prevención, gestión de incidentes y cooperación internacional en esta materia (Navarro Hernández, 2023). Organismos internacionales como el Consejo de Europa han promovido desde 2001 el Convenio de Budapest sobre ciberdelincuencia, que México no ha ratificado a la fecha, y que aboga por estandarizar la tipificación de estos delitos y la colaboración transfronteriza (Monreal Ávila, 2025). No obstante, el país está dando pasos para actualizar su marco penal: en febrero de 2025, la Secretaría de Gobernación presentó un Diagnóstico sobre delitos cibernéticos que identificó 9 tipos principales de ciberdelitos y sus respectivas figuras jurídicas en el CPF y los 32 códigos penales estatales (Monreal Ávila, 2025). Entre esos delitos destacan: espionaje cibernético, ataques a sistemas de comunicación, revelación de secretos, acceso ilícito a sistemas, delitos contra la propiedad intelectual, grooming o contacto sexual con menores vía Internet, corrupción de menores y pornografía infantil, entre otros (Monreal Ávila, 2025). Derivado de este estudio, en 2025 se impulsa una iniciativa legislativa para reformar el Título Vigésimo del CPF, a fin de subsanar lagunas como la falta de reconocimiento explícito de la violencia digital en el ámbito federal y afrontar desafíos emergentes como los delitos mediante inteligencia artificial (IA) (Monreal Ávila, 2025). Esta propuesta busca modernizar el marco jurídico penal para incluir conductas como la suplantación digital de identidad (ej. deepfakes usados en ciberacoso o difamación) y fortalecer la persecución de delitos informáticos de la mano con estándares internacionales (Monreal Ávila, 2025).
En síntesis, el marco legal nacional contra los delitos informáticos se compone de múltiples capas: disposiciones del Código Penal Federal (continuamente actualizadas desde 1999), leyes especiales sectoriales (financieras, de datos personales, etc.) y reformas recientes orientadas a la protección de la intimidad digital. Si bien estos instrumentos han permitido procesar con éxito conductas como hacking, fraudes electrónicos y difusión ilícita de datos, la rápida evolución de las amenazas tecnológicas exige que el legislador mexicano mantenga un proceso activo de actualización normativa. La armonización con referentes internacionales y la promulgación de una estrategia legal integral de ciberseguridad siguen siendo tareas pendientes señaladas tanto por académicos como por autoridades nacionales (Navarro Hernández, 2023) (El Universal, 2022).
Legislación de la Ciudad de México en materia cibernética
La Ciudad de México, en su calidad de entidad federativa, ha desarrollado sus propias normativas para combatir los delitos informáticos, alineadas en gran medida con el marco federal pero también con iniciativas locales innovadoras. El Código Penal de la Ciudad de México (antes Distrito Federal) tipifica desde hace varios años conductas como el acceso ilícito a sistemas y bases de datos, el daño o destrucción de información y la intervención de comunicaciones privadas, semejantes a las figuras previstas en el ámbito federal (Sistema de Información Legislativa de la Secretaría de Gobernación, 2025). Asimismo, la capital fue pionera en reconocer y sancionar la violencia digital contra la intimidad: en 2019, el Congreso de la CDMX reformó su código penal para incluir el delito de violación a la intimidad sexual, penalizando la difusión no consentida de contenido íntimo. Esta reforma local se enmarcó en la ola de la Ley Olimpia y contempló penas de varios años de prisión para quien divulgue imágenes o videos sexuales sin permiso de la persona afectada, con agravantes si la víctima es mujer y se actúa con intención de generar daño (Ochoa Serafín, 2024). Gracias a ello, la CDMX cuenta con precedentes judiciales importantes en castigo de estos delitos: por ejemplo, en 2021 se procesó al primer acusado bajo la Ley Olimpia en la ciudad, quien fue vinculado a proceso por difundir fotos íntimas de decenas de mujeres sin autorización (La Jornada, 2021; El Universal, 2025).
Además del código penal local, la Ciudad de México ha buscado fortalecer el marco normativo en protección de datos personales y ciberseguridad a través de políticas públicas. Un desarrollo reciente notable es la Iniciativa de Ley de Ciberseguridad de la CDMX, presentada en mayo de 2025 por el Instituto de Transparencia, Acceso a la Información y Protección de Datos Personales de la ciudad (INFO CDMX) (Infobae, 2025; Congreso de la Ciudad de México, 2025). Esta propuesta legislativa –la primera de su tipo a nivel subnacional en México– consta de 30 artículos que establecen bases, principios y requisitos en materia de seguridad de la información y protección de datos en entes públicos locales. Entre sus elementos innovadores se incluyen seis principios rectores: seguridad por defecto y desde el diseño, control de daños, cooperación, respuesta responsable a incidentes, privacidad y fortalecimiento de la gestión de incidentes en las instituciones (Infobae, 2025). La iniciativa busca garantizar el buen uso de tecnologías y datos en el gobierno de la ciudad, imponiendo lineamientos claros para la gobernanza del ciberespacio a nivel local y la coordinación entre dependencias en caso de ciberataques (Congreso de la Ciudad de México, 2025).
Esta Ley de Ciberseguridad capitalina, respaldada por el Congreso local en comisiones, coloca a la CDMX a la vanguardia nacional en la materia (Infobae, 2025; Congreso de la Ciudad de México, 2025). Su discusión incluye la participación de expertos, organizaciones civiles y ciudadanía mediante un parlamento abierto, reconociendo la importancia de lograr un consenso social y político amplio en torno a la seguridad digital (Congreso de la Ciudad de México, 2025). Cabe resaltar que la motivación detrás de esta ley local surge del crecimiento exponencial de las amenazas: autoridades capitalinas reportaron que uno de cada dos ataques cibernéticos en Latinoamérica se dirige a México, con millones de intentos de intrusión cada mes (Infobae, 2025; Congreso de la Ciudad de México, 2025). La CDMX, al concentrar gran parte de las infraestructuras gubernamentales y financieras del país, es un blanco atractivo para ciberdelincuentes; de ahí la urgencia de contar con un marco normativo propio que complemente la legislación federal y aborde particularidades locales.
Por otro lado, la ciudad ha implementado políticas públicas y estrategias de ciberseguridad. Ejemplo de ello es la adopción de lineamientos internos en dependencias del gobierno capitalino para la protección de datos personales (en concordancia con la Ley General de Datos Personales en el Sector Público de 2017) y la realización de campañas de capacitación ciudadana sobre riesgos en línea, frecuentemente en colaboración con la Policía Cibernética local (ver siguiente sección). Si bien a nivel municipal no existen códigos penales independientes –ya que la materia penal es de ámbito estatal–, es importante señalar que otras grandes urbes del país han seguido pasos similares. Por ejemplo, Jalisco y Nuevo León han modernizado sus marcos legales estatales para incluir delitos cibernéticos y sus ciudades capitales cuentan con unidades de policía cibernética y protocolos de atención a víctimas de fraudes electrónicos, extorsión en línea o ciberacoso. Esto indica que la respuesta normativa al ciberdelito en México es un esfuerzo conjunto multinivel: la federación marca estándares generales, pero las entidades federativas (como la CDMX) pueden complementar y ejecutar políticas específicas adaptadas a su contexto. En suma, Ciudad de México se ha posicionado como líder en la actualización legal contra delitos informáticos, reconociendo que la ciberseguridad es ya un componente esencial de la seguridad pública local.
Regulaciones en instituciones federales: universidades y fuerzas armadas
Ciertos entes federales relevantes –como las universidades nacionales y las Fuerzas Armadas– cuentan con regulaciones y políticas específicas en materia de seguridad de la información, en cumplimiento de la ley y para proteger sus vastos recursos digitales. Estos marcos, si bien se apoyan en la legislación general, constituyen respuestas institucionales a necesidades particulares de ciberseguridad.
Universidad Nacional Autónoma de México (UNAM): Como la máxima casa de estudios del país y un organismo autónomo, la UNAM maneja gran cantidad de datos e infraestructura informática, por lo que ha desarrollado sus propios lineamientos y capacidades de ciberseguridad. La UNAM es sujeto obligado por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (2017), lo que la compromete legalmente a salvaguardar los datos personales que recopila (estudiantiles, académicos, administrativos) bajo estándares de seguridad, confidencialidad y uso debido. Además del cumplimiento legal, la UNAM ha sido proactiva en materia técnica: a través de su centro especializado UNAM-CERT, la universidad implementó una estrategia integral de ciberseguridad para proteger su infraestructura tecnológica y la información institucional crítica (CIBERTIC, 2025). Esta estrategia interna se basa en principios de prevención, respuesta oportuna y mejora continua, abordando desde la identificación temprana de riesgos hasta la recuperación frente a incidentes (CIBERTIC, 2025). La UNAM-CERT opera con dos áreas funcionales (prevención y respuesta), y prioriza la protección de servicios ampliamente utilizados en la universidad, optimizando recursos humanos y técnicos disponibles (CIBERTIC, 2025). Asimismo, la institución ha desarrollado políticas claras de seguridad informática, programas de capacitación para su personal y esquemas de colaboración con terceros (por ejemplo, con empresas de tecnología y otras universidades) para reforzar sus capacidades ante ataques cada vez más sofisticados (CIBERTIC, 2025). Un ejemplo de estas colaboraciones es la participación de la UNAM en foros académicos y de política pública sobre ciberseguridad –algunos auspiciados por CONAHCyT (hoy SECIHTI) y otras agencias– donde expertos universitarios contribuyen a diagnósticos nacionales y propuestas de regulación (Rodríguez Bribiesca, 2025; “Ley sobre ciberseguridad en México: un reto pendiente,” 2025). En síntesis, la UNAM se rige por la normativa federal de protección de datos y delitos informáticos, pero la complementa con protocolos internos (reglamentos de uso de TIC, códigos de ética digital) y una infraestructura de ciberdefensa reconocida como pionera en el país.
Instituciones militares (SEDENA y SEMAR): En el ámbito de las Fuerzas Armadas –que incluye a la Secretaría de la Defensa Nacional (Ejército y Fuerza Aérea) y la Secretaría de Marina (Armada)–, la ciberseguridad se considera parte de la seguridad nacional. Si bien no existe una ley específica de ciberdefensa, estas dependencias se amparan en la Ley de Seguridad Nacional y sus propias leyes orgánicas para desarrollar estrategias y unidades especializadas en el ciberespacio militar. La SEDENA creó en 2016 el Centro de Operaciones del Ciberespacio, órgano rector de las actividades de ciberseguridad y ciberdefensa del Ejército y Fuerza Aérea (SeguriLatam, 2023). Su misión es “planear, coordinar, dirigir y ejecutar” esfuerzos para identificar amenazas provenientes del ciberespacio y mitigar sus efectos, así como prevenir y responder a incidentes que atenten contra la información e infraestructura crítica bajo resguardo de la Secretaría (SeguriLatam, 2023). Para ello, la Defensa Nacional cuenta con equipos especializados como el Defensa-CERT (Equipo de Respuesta a Incidentes Cibernéticos), integrado por personal altamente calificado en TIC y forense digital, encargado de detectar, investigar, contener y erradicar cualquier incidente cibernético que afecte los sistemas militares (SEDENA, s.f.). Este equipo se dedica primordialmente a proteger la infraestructura tecnológica de SEDENA –redes internas, bases de datos sensibles, sistemas de armas inteligentes, etc.– y opera bajo estrictos protocolos inspirados en estándares internacionales, siempre con respeto a derechos humanos según la propia institución (SEDENA, s.f.). Adicionalmente, la SEDENA ha invertido en la formación de recursos humanos en esta área: existe una Maestría en Ciberseguridad y Ciberdefensa en la Universidad del Ejército y Fuerza Aérea, y se imparten cursos de especialización para oficiales en colaboración con aliados extranjeros (SeguriLatam, 2023). Todo ello evidencia un reconocimiento de que el escenario de guerra moderna incluye el ciberespacio y que es necesario un andamiaje normativo-técnico propio para repeler ciberataques que pudieran comprometer la integridad, independencia o soberanía del país.
Por su parte, la Secretaría de Marina (SEMAR) cuenta con una estructura equivalente denominada Coordinadora General del Ciberespacio, establecida formalmente en octubre de 2020 para regir la seguridad de la información naval. Su misión es “determinar y conducir la gobernanza del ciberespacio para la seguridad de la infraestructura esencial de información de la Armada de México y coadyuvar al esfuerzo nacional en el mantenimiento de la integridad y estabilidad del Estado” (Gobierno de México, 2020). En la práctica, la Armada ha conformado cibercomandos especializados y ha emitido documentos como el Código de Conducta de Seguridad de la Información para personal naval y una Cartilla de Ciberseguridad para concientizar a su personal sobre buenas prácticas (por ejemplo, evitar compartir información sensible en redes sociales o dispositivos personales) (CyberPeace, 2023). Tanto SEDENA como SEMAR colaboran activamente en la Estrategia Nacional de Ciberseguridad (cuyo borrador fue elaborado en 2017-2018 con apoyo de la OEA, aunque sin adopción formal en el DOF) y participan en ejercicios internacionales de ciberdefensa. De hecho, México integra el Foro Iberoamericano de Ciberdefensa, un mecanismo de cooperación entre fuerzas armadas de distintos países para intercambio de información sobre amenazas y simulacros conjuntos de respuesta a ataques (SeguriLatam, 2023). Esta colaboración refleja que, aunque no haya leyes federales específicas para militares en ciberseguridad, las Fuerzas Armadas operan bajo directrices internas coherentes con la política de seguridad nacional, y coordinadas con otras autoridades de seguridad pública para proteger infraestructuras críticas (por ejemplo, redes de telecomunicaciones, satélites, sistemas de control de energía, etc.). Un informe de la Auditoría Superior de la Federación (ASF) en 2019 destacó vulnerabilidades en los sistemas informáticos de la SEDENA y la SEMAR, lo que impulsó mejoras significativas en controles de acceso, segmentación de redes y monitoreo constante de posibles intrusiones (Auditoría Superior de la Federación, 2019). En resumen, en ausencia de una ley sectorial de ciberdefensa, las instituciones militares mexicanas han establecido regulaciones internas y unidades de ciberseguridad para cumplir con su mandato constitucional de garantizar la integridad del territorio y la seguridad interior también en el ámbito digital.
Guardia Nacional y entes de seguridad federal: Un actor clave en la regulación y combate de delitos informáticos es la Guardia Nacional (GN), corporación de seguridad pública de alcance federal creada en 2019. La Ley de la Guardia Nacional faculta explícitamente a esta institución para llevar a cabo “acciones de vigilancia, identificación, monitoreo y rastreo en la red pública de Internet” con el fin de prevenir conductas delictivas (Gobierno de México, 2024). Dentro de la GN existe la Unidad de Policía Cibernética, que asumió las funciones que antes desempeñaba la División Científica de la extinta Policía Federal. Actualmente, la Policía Cibernética de la GN realiza un monitoreo constante de sitios web, redes sociales y servicios en línea para detectar amenazas como fraudes financieros, malware, extorsiones en línea, trata de personas por Internet, pornografía infantil, entre otros (Gobierno de México, 2024). Aunque su enfoque principal ha sido preventivo, en la práctica esta unidad también atiende denuncias ciudadanas: el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX) de la Guardia Nacional recibe entre 80 y 120 reportes diarios de posibles delitos cibernéticos (Gobierno de México, 2024), brindando asesoría a víctimas y colaborando con las fiscalías para investigar casos graves. Por ejemplo, durante 2022 la Policía Cibernética de la GN atendió más de 5 mil reportes relacionados con fraudes de aplicaciones de préstamos ilegales (caso “montadeudas”), logrando coadyuvar en el desmantelamiento de una red delictiva que operaba desde la Ciudad de México (El Universal, 2022). Estos esfuerzos han llevado a propuestas legislativas para ampliar las atribuciones de la Guardia Nacional en el ciberespacio: en 2024 se discutió en el Senado una reforma para que la GN pueda investigar directamente delitos cometidos por medio de Internet (fueran del fuero federal o común) bajo conducción del Ministerio Público competente (Gobierno de México, 2024). Dicha iniciativa busca que los especialistas informáticos de la GN pasen de solo prevenir a participar activamente en operativos contra delitos cibernéticos de cualquier índole, en coordinación con policías locales cuando sea necesario (Gobierno de México, 2024).
En el ámbito de otras agencias, la Fiscalía General de la República (FGR) estableció desde 2013 una Unidad de Investigación de Delitos Cibernéticos, encargada de integrar carpetas de investigación en casos complejos que involucran hacking de instituciones federales, fraudes masivos en banca electrónica, o redes de explotación infantil en línea. Esta unidad trabaja con evidencia digital aplicando peritajes forenses conforme a lineamientos reconocidos (p.ej. cadena de custodia digital) y ha participado en operativos conjuntos con Interpol y agencias de otros países para ubicar ciberdelincuentes transnacionales. De igual modo, el Instituto Nacional de Transparencia y Acceso a la Información (INAI) –autoridad garante en protección de datos– ha emitido lineamientos y recomendaciones técnicas para entidades públicas y privadas, que si bien no son vinculantes penalmente, fortalecen la seguridad de la información. Un ejemplo es la Norma Mexicana NMX-I-7000-NYCE-2021 en gestión de seguridad de datos personales, desarrollada con apoyo del INAI, que sirve de referencia para certificar buenas prácticas de ciberseguridad en organizaciones mexicanas.
En conclusión, instituciones federales como la UNAM y las Fuerzas Armadas se rigen por la legislación general aplicable (penal, protección de datos, seguridad nacional), pero han desarrollado marcos normativos internos y capacidades especializadas para enfrentar los riesgos cibernéticos en sus respectivas esferas. Esto incluye estrategias, manuales, certificaciones y unidades de respuesta que complementan las leyes, demostrando que la ciberseguridad efectiva requiere no solo de normas generales sino de su traducción en políticas institucionales concretas. La articulación entre estos esfuerzos institucionales y el sistema legal más amplio es fundamental para lograr una defensa cohesiva contra las amenazas digitales.
Cuerpos especializados en ciberdelincuencia
La lucha contra los delitos informáticos en México no solo depende de leyes, sino también de la existencia de cuerpos especializados encargados de prevenir, investigar y combatir estas conductas. En las últimas dos décadas, se han conformado diversas unidades policiales de élite y mecanismos de coordinación específicamente orientados al ciberespacio delictivo.
Policía Cibernética Federal: La Guardia Nacional alberga la principal unidad de Policía Cibernética a nivel federal. Sus agentes –con formación en informática, seguridad de la información y análisis forense digital– realizan un patrullaje virtual constante, lo que incluye desde detectar sitios web de phishing o fraudes bancarios, hasta infiltrar foros de delincuencia organizada en la dark web. La Policía Cibernética federal sirve también como punto de contacto para denuncias ciudadanas por medios electrónicos (vía el número de emergencias 088 o correos específicos), asesorando al denunciante sobre cómo preservar evidencias digitales y colaborar con el Ministerio Público. Entre los logros divulgados de esta unidad está la detección y bloqueo de cientos de enlaces maliciosos y perfiles en redes sociales vinculados a actividades ilícitas. Por ejemplo, en abril de 2023 la SSC-CDMX informó que, en coordinación con la Guardia Nacional, se habían desactivado más de 200 cuentas de redes sociales asociadas a cárteles de la droga que difundían actividades ilegales en Internet (Infobae, 2025). Adicionalmente, la Policía Cibernética participa en campañas de concientización pública sobre seguridad digital (emitiendo boletines sobre virus emergentes, estafas en aplicaciones móviles, fraudes con códigos QR, etc.), en conjunto con instancias como la CONDUSEF para alertar contra fraudes financieros en línea (UnoTV, 2025; SinEmbargo, 2025).
Policías cibernéticas estatales: A nivel subnacional, prácticamente todas las entidades federativas de México han implementado unidades de policía cibernética en sus estructuras de seguridad pública. La Policía Cibernética de la Ciudad de México, por ejemplo, fue creada el 3 de abril de 2013 como área especializada de la entonces Secretaría de Seguridad Pública capitalina (SSC CDMX, 2025). Su misión es prevenir y auxiliar a la ciudadanía ante cualquier situación de riesgo en la red pública de Internet, operando 24/7 para atender reportes (SSC CDMX, 2025). Esta unidad realiza ciberpatrullajes en busca de delitos como fraude electrónico, extorsión mediante WhatsApp, acoso en redes sociales o suplantación de identidad en plataformas digitales y trabaja de la mano con la Fiscalía General de Justicia de la CDMX cuando encuentra ilícitos que ameritan investigación formal. A diferencia de sus pares federales, las policías cibernéticas estatales tienen jurisdicción principalmente sobre delitos del fuero común (por ejemplo, fraudes menores, amenazas en línea, violación a la intimidad cuando no trasciende fronteras estatales). Sin embargo, se coordinan entre sí y con la Guardia Nacional a través de la Red Nacional de Policía Cibernética, intercambiando información sobre modus operandi detectados y apoyándose en casos complejos. Muchas han montado sus propios centros de monitoreo cibernético y líneas de atención directa. En el caso de la CDMX, la Policía Cibernética dispone de la línea telefónica 55 5242 5100 ext. 5086 y correo electrónico dedicados, mediante los cuales orienta a víctimas de ciberbullying, estafas o cualquier otro delito cibernético (SSC CDMX, 2025). Igualmente, ofrecen pláticas de prevención en escuelas y empresas, fomentando el civismo digital y el uso responsable de las tecnologías (SSC CDMX, 2025). Estados como Jalisco, Nuevo León, Estado de México, Puebla, entre otros, tienen esquemas similares, en muchos casos apoyados por la División Científica de la entonces Policía Federal que formó a los primeros cuadros locales.
Coordinación interinstitucional: Para potenciar la efectividad de estos cuerpos especializados, México ha establecido mecanismos de coordinación tanto nacionales como internacionales. A nivel nacional, destaca el trabajo del Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX), el cual funge como hub de notificaciones de ciberataques significativos. El CERT-MX, actualmente alojado en la Guardia Nacional, recibe informes no solo de ciudadanos sino de entidades gubernamentales y empresas sobre incidentes relevantes (ataques masivos de ransomware, brechas de datos personales, intrusiones a infraestructuras críticas). Este centro analiza técnicamente los incidentes, emite alertas tempranas y recomendaciones de contención y puede convocar grupos de respuesta inmediata con expertos de distintas agencias. Por otro lado, en 2022 el Consejo Nacional de Seguridad Pública acordó lineamientos para incorporar la ciberseguridad en las estrategias de seguridad de los tres niveles de gobierno, instando a fortalecer las policías cibernéticas y su equipamiento. Se ha propuesto la creación de un Centro Nacional de Ciberseguridad de carácter interinstitucional, que articule esfuerzos de Policía, Fuerzas Armadas, inteligencia civil (CNI) y sector privado (Yahoo Noticias, 2022). Esta idea, respaldada por senadores, busca tener una instancia rectora que coordine la protección de infraestructuras vitales (energía, finanzas, telecomunicaciones) contra ciberamenazas y que impulse la actualización constante del marco legal (Yahoo Noticias, 2022).
En el plano internacional, los cuerpos especializados mexicanos participan en redes globales de combate al cibercrimen. México es miembro de la Red 24/7 de Interpol para delitos informáticos, lo que permite canalizar solicitudes urgentes de preservación de datos o localización de ciberdelincuentes transnacionales. Asimismo, colabora con organismos como el FBI, Europol y la OEA, intercambiando información sobre ataques en curso y mejores prácticas en investigación digital. Un ejemplo fue la cooperación en la investigación del ataque al sistema bancario (SPEI) en 2018, donde agencias de varios países (España, Rumania, Taiwán, entre otros) asistieron en rastrear a los perpetradores, logrando la detención de un sospechoso considerado cabecilla de la operación (BBC News, 2018). Esta cooperación es esencial dada la naturaleza sin fronteras del cibercrimen.
En resumen, México ha desarrollado un andamiaje operativo especializado para enfrentar los delitos informáticos, con la Policía Cibernética (federal y estatales) como punta de lanza. Estos cuerpos, junto con centros de respuesta a incidentes y la colaboración interinstitucional, materializan en el terreno la aplicación de las leyes. No obstante, enfrentan desafíos como la rápida evolución tecnológica, la escasez de personal altamente calificado y la necesidad de protocolos unificados. Fortalecer y profesionalizar aún más estas unidades –dotándolas de mejores herramientas forenses, capacitaciones continuas y facultades legales claras– es tan importante como perfeccionar el marco jurídico, pues leyes robustas requieren agentes capaces de hacerlas valer en el complejo mundo digital.
Casos relevantes de aplicación normativa
A continuación se describen algunos casos emblemáticos en México que ilustran la aplicación (y a veces las limitaciones) de las normas contra delitos informáticos:
- Ataque al sistema bancario SPEI (2018): En abril de 2018, varios grupos de hackers infiltraron el software de conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI) de distintas instituciones financieras, logrando desviar transferencias fraudulentas por un monto estimado entre 300 y 800 millones de pesos (BBC News Mundo, 2018). Fue un ciberataque sin precedentes en el país, que afectó a al menos cinco bancos. Las autoridades federales investigaron el hecho como acceso ilícito a sistemas informáticos y fraude bancario, delitos contemplados en el CPF y en la Ley de Instituciones de Crédito. Si bien inicialmente no se identificaron responsables locales de inmediato (debido a la sofisticación de la intrusión) (BBC News Mundo, 2018), la colaboración internacional rindió frutos: en 2019 se detuvo en Europa al presunto líder de la banda, gracias a indagatorias conjuntas de la entonces PGR con agencias de España y otros países (BBC News Mundo, 2018). El caso SPEI evidenció la vulnerabilidad de la infraestructura financiera y propició mejoras regulatorias por parte del Banco de México en ciberseguridad bancaria, además de dejar precedente sobre la aplicabilidad de la legislación penal mexicana aún cuando los atacantes se encuentren fuera del territorio nacional.
- Guacamaya Leaks: Hackeo a la SEDENA (2022): En septiembre de 2022, el colectivo hacktivista internacional denominado “Guacamaya” logró penetrar servidores de la Secretaría de la Defensa Nacional, sustrayendo alrededor de 6 terabytes de información confidencial de entre 2016 y 2022 (SIL Gobernación, 2022). Esta filtración masiva expuso comunicaciones internas, informes de inteligencia sobre crimen organizado, correos militares e incluso datos sensibles sobre la salud del presidente de la República (SIL Gobernación, 2022). El hecho representó el mayor ciberataque sufrido por el gobierno mexicano en su historia reciente. Jurídicamente, la intrusión configura el delito de acceso ilícito a sistemas y equipos de informática y posiblemente espionaje o revelación de secretos en perjuicio de la seguridad nacional, según el CPF. Sin embargo, al tratarse de actores fuera de la jurisdicción (hackers transnacionales con motivaciones político-activistas), no se han logrado imputaciones directas hasta ahora. El caso sí tuvo repercusiones normativas y administrativas: motivó un llamado del Senado y de la ASF para que SEDENA fortaleciera urgentemente sus controles de ciberseguridad (SIL Gobernación, 2022). También reavivó el debate sobre la necesidad de protocolos de respuesta a incidentes en dependencias públicas y mecanismos legales para cooperar internacionalmente en este tipo de investigaciones. Los Guacamaya Leaks pusieron de manifiesto que incluso las instituciones castrenses requieren actualizarse frente a adversarios cibernéticos no tradicionales, llevando a SEDENA y SEMAR a acelerar la implementación de sus centros de ciberoperaciones y sensibilizar a su personal sobre higiene digital (por ejemplo, evitar usar correos inseguros para información clasificada).
- Primera sentencia por violencia digital (2023): Tras la promulgación de la Ley Olimpia a nivel nacional y local, comenzaron a judicializarse casos de difusión de contenido íntimo sin consentimiento. Un caso paradigmático ocurrió en el estado de Hidalgo, donde José Luis “H” fue acusado de administrar un repositorio ilegal con fotografías y videos de carácter sexual de al menos 540 mujeres, muchas de ellas obtenidas sin permiso (ya fuera robando archivos de celulares en reparación o compartidas por ex parejas) (El Universal, 2025). Gracias a las denuncias de 43 víctimas y al apoyo de colectivos feministas, se logró su captura en 2021 bajo los nuevos tipos penales de violación a la intimidad sexual. Aunque inicialmente el acusado escapó de prisión, fue recapturado en 2023 y finalmente sentenciado a 8 años de cárcel en marzo de 2025, convirtiéndose en la primera condena firme por violencia digital en México (El Universal, 2025). Este caso emblemático demostró la efectividad de las reformas legales al permitir castigar a un agresor que anteriormente hubiera encontrado un vacío legal para su conducta. La sentencia –resultado de cuatro años de proceso– marcó un precedente que refuerza la confianza de las víctimas para denunciar este tipo de delitos y puso en evidencia retos adicionales, como la necesidad de remover contenidos de plataformas extranjeras (en este caso, los servidores estaban en Australia y se requirió la intervención de agencias internacionales para bajar el material de la nube) (El Universal, 2025). La experiencia de Hidalgo sirvió de modelo para otras entidades y derivó en capacitaciones a ministerios públicos y policías en la correcta integración de carpetas de investigación por delitos informáticos con perspectiva de género.
- Red de fraudes “Montadeudas” (2022): En 2022, se popularizaron en México aplicaciones móviles de préstamos express que incurrían en prácticas extorsivas: cobranzas violentas, robo de datos de contactos del teléfono y amenazas a usuarios. La Policía Cibernética de la Guardia Nacional detectó esta modalidad y recibió más de 5,000 reportes de víctimas en unos meses (Yahoo Noticias, 2022). A partir de ello, en agosto de 2022 se llevó a cabo un operativo conjunto con la Fiscalía de la CDMX que desmanteló una red delictiva dedicada a estos fraudes digitales, arrestando a varias personas de origen asiático y mexicano involucradas. El caso se procesó bajo cargos de extorsión, tratamiento indebido de datos personales y asociación delictuosa, combinando legislación penal tradicional con la de protección de datos (LFPDPPP). Si bien las apps operaban al margen de la regulación financiera (muchas no estaban registradas en Condusef), la acción coordinada fue posible gracias al monitoreo cibernético y a denuncias ciudadanas oportunas. Este fenómeno impulsó en el Senado exhortos para agilizar una Ley de Ciberseguridad enfocada en prevenir fraudes electrónicos y robo de identidad, evidenciando cómo la aparición de nuevas formas de delito en línea presiona al sistema normativo para actualizarse (Yahoo Noticias, 2022).
Estos casos –entre muchos otros– muestran que las normas contra delitos informáticos en México sí han sido aplicadas con éxito en diversos contextos, pero también subrayan áreas de oportunidad. Por ejemplo, el caso SPEI reveló la importancia de la seguridad en el sector financiero y llevó a reforzar estándares; el hackeo a SEDENA exhibió la necesidad de mayores inversiones en ciberdefensa gubernamental y cooperación internacional; la sentencia por violencia digital validó las reformas de Ley Olimpia pero alertó sobre dificultades operativas (fuga del detenido, jurisdicción sobre plataformas globales); finalmente, los montadeudas mostraron la rapidez con que los delincuentes explotan la tecnología para nuevas estafas, poniendo a prueba la agilidad de la respuesta legal y policial. Cada caso aportó lecciones para perfeccionar tanto el andamiaje jurídico –mediante reformas posteriores o nuevas leyes– como los mecanismos técnicos de prevención y persecución del ciberdelito.
Conclusiones
El análisis del marco normativo mexicano en materia de delitos informáticos revela un panorama en evolución constante, donde se han logrado importantes avances pero persisten desafíos significativos. En el ámbito legal, México cuenta hoy con una base normativa sustancial: el Código Penal Federal tipifica los ciberdelitos más graves (acceso no autorizado a sistemas, sabotaje informático, fraudes electrónicos, abuso sexual digital, etc.), complementado por leyes específicas como la de protección de datos personales y recientes reformas que abordan la violencia digital de género. Asimismo, las entidades federativas –particularmente la Ciudad de México– han actualizado sus códigos penales para homologar estas figuras delictivas, cerrando brechas que antes permitían la impunidad. Sin embargo, no existe todavía una ley general de ciberseguridad, instrumento que podría unificar criterios, establecer obligaciones claras de seguridad para instituciones y empresas y fomentar la cooperación público-privada en la protección del ciberespacio. La ausencia de un marco integral deja a las dependencias actuando de forma reactiva y heterogénea. Es prioritario, en consecuencia, que el Poder Legislativo retome las diversas iniciativas en curso (como la propuesta de 2025 sobre delitos cibernéticos o la Ley de Ciberseguridad del INFO CDMX) (Congreso de la Ciudad de México, 2025) para consolidar un marco jurídico coherente, acorde con estándares internacionales como el Convenio de Budapest y adaptado a las amenazas emergentes (IA maliciosa, ciberterrorismo, etc.).
Desde la perspectiva técnica y operativa, el país ha desarrollado capacidades notables a través de cuerpos especializados (Policía Cibernética, CERTs, unidades militares de ciberdefensa). Estos actores han demostrado eficacia en la atención de incidentes y casos complejos, pero enfrentan retos de escala y sofisticación. Se recomienda fortalecer técnicamente a estas unidades mediante: mayor inversión en herramientas forenses y de monitoreo(por ejemplo, sistemas de inteligencia artificial para detección proactiva de amenazas en tiempo real, como ya emplean países líderes) (Ochoa Serafín, 2024), capacitación continua del personal en las últimas técnicas de hacking ético y análisis de malware, e incremento de plantillas para manejar el creciente volumen de incidentes (recordemos que CERT-MX atiende hasta 120 reportes diarios (Gobierno de México, 2024), carga que aumenta). Adicionalmente, es crucial establecer protocolos ágiles de cooperación interinstitucional: por un lado, consolidar el intercambio de información entre sector público y sector privado (bancos, telcos, proveedores de Internet) para responder rápido a ataques; por otro, profundizar la colaboración internacional, aprovechando convenios bilaterales y la Red 24/7 de Interpol para perseguir delincuentes más allá de nuestras fronteras.
Un aspecto destacado es que las barreras jurídicas no deben entorpecer las soluciones técnicas, sino complementarlas. Por ejemplo, se puede impulsar una reforma legal que obligue a las empresas a notificar brechas de seguridad significativas al gobierno (algo aún voluntario en México), lo cual mejoraría la respuesta coordinada. También sería conveniente actualizar la normatividad en materia de prueba digital en procesos penales, de modo que las evidencias electrónicas se incorporen con plenas garantías pero sin excesivos formalismos que ralenticen juicios. En paralelo, deben eliminarse posibles lagunas: por ejemplo, tipificar el ransomware explícitamente y no solo como daño informático genérico o regular la responsabilidad de las plataformas en casos de difusión de contenido ilícito (en consonancia con la tendencia internacional de corresponsabilidad de intermediarios). Estas adecuaciones legales facilitarían la labor técnica de contención y remoción de amenazas.
Finalmente, es imprescindible adoptar una visión integral de la ciberseguridad nacional, que combine medidas preventivas, reactivas y políticas públicas transversales. Las conclusiones del presente reporte señalan que México requiere: (1) Conciencia y educación a todos los niveles –desde campañas masivas de higiene cibernética para la ciudadanía, hasta formación especializada de jueces y fiscales en delitos informáticos–; (2) Tecnología y personal calificado, invirtiendo en desarrollo de talento local (ingenieros, peritos) y reteniendo la experiencia existente en las unidades cibernéticas; (3) Normas claras y actualizadas, que no queden rezagadas frente a la creatividad de los delincuentes digitales. El balance entre recomendaciones técnicas y jurídicas es interdependiente: sin un marco legal adecuado, las mejores herramientas tecnológicas pueden verse subutilizadas o sin respaldo para su despliegue; a su vez, sin la implementación técnica adecuada, las leyes quedan en letra muerta. Por ello, se sugiere la conformación de un Consejo Nacional de Ciberseguridad multisectorial (como el propuesto por legisladores (El Universal, 2022)), que elabore una estrategia unificada y proponga tanto reformas legislativas como proyectos de fortalecimiento institucional.
En conclusión, México ha sentado bases importantes para combatir los delitos informáticos, aprendiendo de casos reales y ajustando sus marcos normativos en consecuencia. Para afrontar los retos actuales –y futuros– de la ciberdelincuencia, el país debe priorizar un enfoque integral: marcos jurídicos flexibles y actualizables, capacidades técnicas de primer orden y una sólida voluntad política para impulsar la ciberseguridad como parte de la seguridad nacional y el bienestar social. Solo con esta combinación de esfuerzos podrá garantizarse que el ciberespacio mexicano sea un entorno más seguro, donde los beneficios de la transformación digital no se vean opacados por nuevos riesgos sin control.
Bibliografía
- Congreso de la Ciudad de México. (13 de mayo de 2025). Presentan iniciativa de Ley de Ciberseguridad (Comunicado 6317). Congreso CDMX, Comisión de Transparencia y Combate a la Corrupción. Disponible en: congresocdmx.gob.mx.
- Diario Oficial de la Federación. (5 de julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. DOF 05-07-2010, México. Disponible en: mexico.justia.com.
- Diario Oficial de la Federación. (1 de junio de 2021). Decreto por el que se adicionan diversas disposiciones de la Ley General de Acceso de las Mujeres a una Vida Libre de Violencia y el Código Penal Federal en materia de violencia digital y mediática (Ley Olimpia). DOF 01-06-2021, México. Disponible en: beristain-abogados.comitmastersmag.com.
- Gobierno de México – Secretaría de la Defensa Nacional (SEDENA). (1 de diciembre de 2024). Equipo de Respuesta a Incidentes Cibernéticos. Artículo en gob.mx/defensa gob.mxgob.mx.
- Gobierno de México – Secretaría de Marina (SEMAR). (17 de octubre de 2024). Coordinadora General del Ciberespacio. Blog en gob.mx/semar.
- Guardia Nacional (México). (17 de abril de 2024). Iniciativa de reforma a la Ley de la Guardia Nacional en materia de Policía Cibernética. Gaceta Parlamentaria LXV Legislatura (propuesta del Sen. Rivera) .gobernacion.gob.mx.
- Ochoa Serafín, M. (3 de diciembre de 2024). Delitos informáticos en México: ¿qué dice la ley? IT Masters Mag. Disponible en: itmastersmag.com y itmastersmag.com.
- Navarro Hernández, J. C. (30 de junio de 2023). México, ante la falta de legislación en ciberseguridad y el uso de la Inteligencia Artificial. Boletín de la DGTIC-UNAM, Portal TIC UNAM. Disponible en línea tic.unam.mx y tic.unam.mx.
- El Universal. (23 de agosto de 2022). “Policía Cibernética recibió más de 5 mil reportes de montadeudas”. En Yahoo Noticias. Disponible en es-us.noticias.yahoo.com y en es-us.noticias.yahoo.com.
- El Universal. (7 de marzo de 2025). “Primera sentencia por violencia digital en Hidalgo; 8 años de prisión a sujeto que vendió fotos íntimas de 540 mujeres”. El Universal, sección Estados. Disponible en eluniversal.com.mx y en eluniversal.com.mx.
- Secretaría de Gobernación (México). (febrero de 2025). Diagnóstico sobre delitos cibernéticos en la legislación penal del país. Centro Nacional de Inteligencia /SEGOB sil.gobernacion.gob.mx.
- Monreal Ávila, R. (marzo de 2025). Iniciativa con proyecto de decreto por el que se reforma el Título Vigésimo del Código Penal Federal en materia de violencia digital y delitos informáticos. LXV Legislatura, Congreso de la Unión. Disponible en https://sil.gobernacion.gob.mx/Archivos/Documentos/2025/03/asun_4852026_20250311_1741201591.pdf .