Resumen De IA
México registró un aumento interanual del 78% en ciberataques durante 2024. El dato es elocuente, pero el problema de fondo no es la cantidad de ataques: es que la mayoría de las organizaciones siguen respondiendo con herramientas de TI cuando el reto ya es de gobierno.
El gobierno, riesgo y cumplimiento (GRC) pasó de ser un marco documental a convertirse en el eje real de la resiliencia empresarial. Las empresas que aún gestionan riesgos con hojas de cálculo y políticas en PDF no tienen un problema de tecnología; tienen un problema de visibilidad y de capacidad para demostrar controles ante reguladores, inversionistas y socios comerciales.
El contexto: México bajo presión regulatoria y operativa
México publicó el Plan Nacional de Ciberseguridad 2025-2030 a través de la Agencia de Transformación Digital y Telecomunicaciones, con el objetivo de fortalecer gobierno institucional, infraestructura crítica y respuesta nacional a incidentes. El plan ubica al país en el nivel «Tier 2 Avanzado» del Global Cybersecurity Index 2024, pero reconoce una brecha operativa real frente al cibercrimen.
Esa brecha tiene nombre y apellido. Entre 2019 y 2025 se acumularon 155 casos críticos de ransomware en México, convirtiendo al país en el segundo con más víctimas de la región, sólo detrás de Brasil. Y los números del sector público no son más alentadores: en los últimos años se documentaron 16 incidentes críticos confirmados que afectaron instituciones como la Sedena, la SICT y la Conagua.
En abril de 2026 un incidente vinculado a la plataforma de accesos portuarios de la SEMAR expuso datos sensibles de aproximadamente 640 mil trabajadores, incluyendo biométricos, RFC, tipo de sangre y ubicación laboral. Para cualquier empresa que trabaje con el Estado o que compita en sectores regulados, estos eventos no son anécdotas: son señales del nivel de exigencia que viene.
De la seguridad técnica a la gobierno corporativa
El mayor cambio del ciclo 2025-2026 no es tecnológico. La ciberseguridad en México se está convirtiendo en un asunto de gobierno institucional, y eso transforma completamente cómo deben responder los equipos de riesgo y cumplimiento.
El Plan Nacional propone estructuras formales como un CSOC nacional y un CSIRT especializado para la Administración Pública Federal. Para el sector privado, la señal es clara: controles medibles, evidencia continua y trazabilidad de incidentes ya no son buenas prácticas; empiezan a ser condición de operación.
Esto tiene implicaciones directas para el Director de Gestión de Riesgos (CRO), el Director de Cumplimiento y el Director de Seguridad de la Información (CISO). Hoy no alcanza con reportar que «no hubo incidentes». Toca demostrar que existe un proceso activo de monitoreo, que los controles están documentados, que los terceros críticos están evaluados y que hay un plan de respuesta probado. Sin esa evidencia, las auditorías, los contratos con clientes globales y el acceso a financiamiento internacional se complican.
Panorama GRC en México 2026: datos clave y su implicación estratégica
| Eje | Dato o señal | Implicación para tu estrategia GRC |
| Gobernanza nacional | Plan Nacional de Ciberseguridad 2025-2030 publicado, con CSOC y CSIRT para la APF | Suben las exigencias de controles formales y evidencia de madurez en el sector privado |
| Exposición al riesgo | +78% en ciberataques durante 2024 | Mayor riesgo residual. Toca activar monitoreo continuo y definir KRIs por área de negocio |
| Ransomware | 155 ataques críticos entre 2019-2025. México: 2.° en víctimas en la región | Priorizar continuidad operativa, respaldo verificado y planes BIA con tiempos de recuperación reales |
| IA y amenazas | 94% de líderes espera que la IA sea el mayor disruptor de la ciberseguridad en 12 meses | Incorporar gobierno de IA al marco de riesgo: inventario de herramientas y controles de fuga de datos |
| Riesgo de terceros | 46% identifica a proveedores y cadena de suministro como vulnerabilidad principal | TPRM deja de ser opcional. Mapear accesos de terceros y documentar evaluaciones periódicas |
| Talento y capacidad | 45% señala la escasez de habilidades como freno a la resiliencia | Automatizar el ciclo de cumplimiento para reducir dependencia de personas clave |
| Sector público | 640K registros expuestos en incidente vinculado a la SEMAR en abril de 2026 | Mayor presión en protección de datos personales, trazabilidad y cumplimiento de la LFPDPPP |
| Marco regulatorio | Ley Federal de Ciberseguridad en discusión legislativa | Prepararse hoy con NIST CSF e ISO 27001. La dirección es más obligaciones de reporte y accountability directivo |
Los tres frentes que más presionan al GRC en México hoy
Riesgo de terceros y cadena de suministro
El 46% de los líderes de ciberseguridad identifica a proveedores y cadena de suministro como una de sus principales vulnerabilidades. En el contexto mexicano de nearshoring, ese porcentaje cobra más peso.
Las empresas que integran cadenas de suministro para Estados Unidos y Canadá están sujetas a estándares contractuales que exigen no sólo controles internos, sino visibilidad sobre subcontratistas de cuarta y quinta parte. Un proveedor de manufactura que no puede demostrar gestión de riesgo de terceros pierde contratos. No es hipotético: ya está pasando en los sectores automotriz, aeroespacial y farmacéutico.
La gestión de riesgo de terceros (TPRM) deja de ser un módulo adicional y se vuelve un requisito de entrada. Las organizaciones necesitan mapear qué proveedores tienen acceso a sistemas críticos, qué nivel de control ejercen sobre esos accesos y cómo documentan las evaluaciones periódicas.
Cumplimiento regulatorio y la Ley Federal de Ciberseguridad
El eje normativo más importante del periodo es la consolidación del Plan Nacional 2025-2030 y la expectativa de una Ley Federal de Ciberseguridad. La iniciativa busca unificar competencias institucionales, elevar las obligaciones de notificación ante incidentes y aumentar la responsabilidad directiva ante fallas de protección.
Para empresas reguladas por la CNBV, la Ley Fintech o la LFPDPPP, la dirección es la misma: más obligaciones formales, más auditoría y más accountability del consejo. Prepararse con marcos tipo NIST CSF o ISO 27001, matrices de riesgo activas y procesos de respuesta documentados ya no es anticiparse al futuro; es ponerse al día con el presente.
IA como vector de riesgo y como herramienta de gobierno
El World Economic Forum reporta que el 94% de los encuestados espera que la inteligencia artificial sea el factor que más cambie la ciberseguridad en los próximos 12 meses, mientras el 87% identifica las vulnerabilidades relacionadas con IA como el riesgo de crecimiento más rápido.
Para equipos de GRC, esto implica dos movimientos simultáneos. Por un lado, incorporar el Gobierno de IA a los marcos de riesgo: qué herramientas usa la organización, qué datos procesan, qué controles existen sobre fugas o uso indebido. Por otro lado, aprovechar la automatización para hacer el trabajo de cumplimiento más eficiente: procesar evidencias, actualizar controles y monitorear indicadores de riesgo sin depender de procesos manuales.
Lo que diferencia a las organizaciones resilientes
Las organizaciones que ya están respondiendo bien a este contexto tienen algo en común: no gestionan el riesgo como un ejercicio de documentación. Lo integran al proceso de toma de decisiones.
Eso significa que los indicadores de riesgo llegan al nivel de consejo con cuantificación monetaria, no solo con semáforos de color. Que los planes de continuidad incluyen análisis de impacto al negocio (BIA) con tiempos de recuperación reales. Que las matrices de control se actualizan con base en eventos reales, no en revisiones anuales.
Para las empresas que operan en sectores financieros, manufactura exportadora, logística, energía o gobierno, el GRC maduro es ya un habilitador de negocio: sin él se pierden contratos, se cierran líneas de crédito y se erosiona la confianza de inversionistas. Con él, se construye un activo estratégico que diferencia frente a competidores que aún operan en modo reactivo.
La brecha entre tener un software y tener una estrategia
Uno de los errores más comunes en la región es confundir la implementación de una herramienta GRC con tener una estrategia de gobierno de riesgo. El software es condición necesaria, pero no suficiente.
Lo que determina el resultado real es si la organización tiene claridad sobre sus activos críticos, si los riesgos están vinculados a procesos de negocio específicos, si los controles son medibles y si existe un ciclo de mejora continua con evidencia trazable.
Una plataforma GRC bien configurada elimina los silos entre áreas de riesgo, cumplimiento y auditoría, automatiza el ciclo de vida de las políticas y permite que los responsables de decisión vean el panorama completo en lugar de recibir reportes fragmentados de cada departamento. Eso no lo da cualquier hoja de cálculo ni cualquier solución pensada para la realidad de un banco global en Londres.
El mercado mexicano necesita herramientas construidas desde la realidad de sus instituciones: estructuras organizacionales más ágiles, equipos de cumplimiento con recursos limitados, regulaciones locales específicas y una exposición a riesgos que incluye lavado de dinero, crimen organizado y cadenas de intermediarios que no aparecen en los catálogos de riesgo estándar de Occidente.
Señales que indican que tu organización necesita madurar en GRC hoy
Si alguno de estos escenarios describe tu realidad actual, la ventana para actuar se está cerrando:
- Los reportes de riesgo llegan al comité directivo en formato de presentación, sin métricas cuantificadas ni KRIs actualizados.
- La evaluación de proveedores críticos se hace una vez al año con un cuestionario estático.
- Los planes de continuidad existen en papel pero no se prueban.
- El seguimiento de cumplimiento normativo depende de una persona o de un archivo compartido en la nube.
- Ante una auditoría, el equipo tarda más de 48 horas en reunir la evidencia de controles.
Ninguno de estos puntos es un problema menor. En un entorno donde el 54% de las empresas en México ya han sufrido incidentes y donde la regulación avanza hacia mayor responsabilidad directiva, estos vacíos se convierten en riesgo reputacional, regulatorio y financiero concreto.
Hacia dónde va el GRC en México
La trayectoria es clara. El Plan Nacional de Ciberseguridad 2025-2030 establece una hoja de ruta que va de la formalización de controles a la madurez operativa institucional. La Ley Federal de Ciberseguridad en discusión apunta a más obligaciones de reporte y mayor accountability ejecutivo. Y los clientes globales que operan desde México están subiendo sus estándares contractuales de cumplimiento y seguridad.
Para los CRO, CISO y directores de cumplimiento que operan en este entorno, el 2026 no es un año de esperar a ver cómo evoluciona el marco regulatorio. Es el año de construir la capacidad de demostrar gobierno, riesgo y cumplimiento con evidencia continua, no con documentación estática.
Las organizaciones que lleguen primero a ese nivel de madurez no solo van a cumplir con los reguladores. Van a ganar contratos, retener socios estratégicos y posicionarse como la opción confiable en un mercado donde la confianza se está convirtiendo en el diferencial más escaso.
