Día de la Seguridad Informática: delitos informáticos en México

A Laura le llegó un WhatsApp un lunes a las 8:13 de la mañana. Le aparecía el logo de su banco, el nombre del ejecutivo que la había atendido semanas antes y un mensaje corto: “Hemos detectado un cargo no reconocido. Da clic aquí para bloquear tu tarjeta de inmediato.”

Iba tarde al trabajo, llevaba el café en una mano y el celular en la otra.
Le pareció lógico actuar rápido. Tocó el enlace, capturó sus datos “para validar su identidad” y siguió con su día. Dos horas después, tenía más de quince cargos en su cuenta, transferencias a destinatarios que no conocía y un mensaje de su banco real preguntando si estaba autorizando esos movimientos.

La historia de Laura debe de ser muy familiar para muchos. En México, casi la mitad de las personas ha sufrido un ciberataque o fraude móvil en el último año. Lo que antes sonaba lejano, “hackers”, “cibercrimen”, “ransomware”, hoy son tarjetas vaciadas, identidades robadas y empresas paralizadas. Sí, estamos hablando de delitos cibernéticos. 

En el Día de la Seguridad Informática, te compartimos esta entrada con el propósito de darte contexto y herramientas para entender qué son los delitos informáticos, cómo opera la ingeniería social, qué lugar ocupa México en el mapa mundial y con qué marco legal cuentas si eres víctima.

¿Qué es realmente un delito informático? Si se lo preguntas a Laura, te dirá que, con base en lo que le ocurrió, es “un fraude por internet”. En términos legales, un delito informático es una conducta ilícita cometida usando sistemas, redes o dispositivos digitales. No siempre se ve como un “hackeo hollywoodense”. Muchas veces es algo tan sencillo como:

• Acceder sin permiso a una cuenta de correo o a la banca móvil.
• Robar bases de datos de clientes y venderlas.
• Extorsionar a una empresa cifrando sus archivos (ransomware).
• Suplantar la identidad de una persona o de una marca para pedir dinero o datos.

Hay quienes llegan a pensar que detrás de estos ataques no hay más que adolescentes curiosos, sin embargo, no es así, hay individuos muy técnicos, grupos criminales organizados y hasta actores estatales que operan con fines políticos o económicos.

La ingeniería social: el arte de engañar antes de atacar

Si el ciberdelito fuera una película, la ingeniería social sería el guion.
Es el conjunto de técnicas que usan los delincuentes para que seas tú quien abra la puerta. En la práctica se traduce en historias como estas:

• El correo urgente: a Juan le llega un mail “del SAT” avisando de una auditoría. Para descargar el supuesto “requerimiento fiscal” debe dar clic en un enlace. Nunca fue el SAT: era un archivo malicioso.
• La llamada del banco: a Carmen la busca un “ejecutivo” para avisar de un intento de cargo. La conversación suena tan profesional que termina dictando su token y códigos de seguridad.
• El mensaje de paquetería: a Diego le avisan por SMS que su paquete está retenido en aduana y debe “pagar una pequeña diferencia”. El enlace lo lleva a una pasarela falsa donde captura los datos de su tarjeta.

Estos ataques tienen muchas caras: phishing por correo electrónico, smishing (mensajes SMS con enlaces maliciosos), vishing (llamadas telefónicas), suplantación de marca mediante sitios o perfiles falsos y estafas románticas, donde alguien construye una relación para después pedir dinero o información.

Los estudios sobre ingeniería social señalan que más de una cuarta parte de las personas ha sufrido alguna estafa de este tipo, y México suele aparecer por encima de ese promedio cuando se habla de fraude móvil. Esos estudios también nos muestran una moraleja clara: muchas veces el ataque empieza en tu bandeja de entrada, no en el servidor.

México en el mapa del cibercrimen: mucho más que anécdotas

Imagina un mapa mundial que se enciende donde hay intentos de ataque.
En esa visualización, la región de Asia-Pacífico (APAC) concentra la mayor cantidad de incidentes detectados; le siguen Europa, Oriente Medio y África, después Norteamérica y, finalmente, Latinoamérica.

Ahora haz “zoom” en nuestra región: dentro de ese 11 % aproximado de ataques que se dan en América Latina, México representa algo más de la mitad de las ciberamenazas detectadas, pero, ¿por qué?

• Porque el país se ha convertido en un actor clave en el nearshoring y las cadenas de suministro: logística, sector automotriz y tecnología son objetivos muy rentables.
• Porque el uso de banca móvil y pagos digitales crece más rápido que la educación financiera y digital.
• Porque muchas empresas medianas y pequeñas se digitalizaron a gran velocidad, pero sin invertir lo suficiente en ciberseguridad.

Para directivos y responsables de TI, esto se traduce en presión constante sobre sectores críticos como finanzas, manufactura, logística y tecnología. El enfoque recomendado ya no es “evitar cualquier ataque” (algo imposible); es mejorar la capacidad de respuesta y recuperación.

El “idioma” global del cibercrimen: categorías para entender el problema

En 2001, el Convenio de Budapest sobre Ciberdelincuencia propuso una clasificación que todavía sirve para poner orden en este terreno.
Piensa en ella como un mapa mental que responde a una pregunta: ¿para qué se usa la tecnología en el delito?

1. Cuando la tecnología es el objetivo

• Intrusión a sistemas y redes.
• Ataques DDoS que tiran sitios o servicios.
• Sabotaje informático.
• Robo o destrucción de datos.

1. Cuando la tecnología es la herramienta

• Phishing, malware, ransomware.
• Estafas en redes sociales o plataformas de comercio electrónico.

1. Cuando el problema es el contenido

• Difusión de material ilegal.
• Discurso de odio o propaganda terrorista.
• Incitación a cometer delitos desde plataformas digitales.

1. Cuando se afecta la propiedad intelectual

• Piratería de software.
• Uso no autorizado de marcas, patentes y obras protegidas.

México aún no es parte plena del Convenio, pero muchas de sus reformas y propuestas legislativas lo toman como referencia. Además, la reciente convención de la ONU sobre ciberdelincuencia pretender reforzar la cooperación internacional en investigaciones que cruzan fronteras.

La ley en México

Aunque no tenemos una “ley única de cibercrimen”, sí existe un mosaico normativo que protege distintos aspectos:

1. Código Penal Federal: cuando el ataque ya ocurrió

Aquí encontramos las figuras que castigan:

• El acceso ilícito a sistemas y la modificación de información.
• La revelación de secretos y el uso indebido de comunicaciones privadas.
• Los ataques contra sistemas del Estado, con penas más altas si se afecta la seguridad o la procuración de justicia.

Las sanciones pueden ir de meses hasta más de diez años de prisión, acompañadas de multas y, en algunos casos, inhabilitación para ejercer ciertos cargos.

1. LFPDPPP: tu información no es moneda de cambio

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares protege la información que empresas y organizaciones guardan sobre ti.

Obliga a:

• Informar para qué se usarán tus datos.
• Obtener tu consentimiento.
• Permitir que ejerzas tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

El uso doloso o por engaño de datos personales puede derivar en multas millonarias e incluso en prisión, especialmente cuando se trata de información sensible (salud, orientación, creencias, etc.).

1. Sector financiero y activos virtuales

En el mundo financiero digital, el margen de error es mínimo:

• La Ley de Instituciones de Crédito y la regulación Fintech sancionan el acceso no autorizado a sistemas bancarios, la falsificación de información y la desviación de recursos o activos virtuales.
• Las penas combinan años de cárcel con multas calculadas en UMAs, además de sanciones administrativas como la suspensión o inhabilitación de funcionarios.

1. Ley del Mercado de Valores

Aquí se protegen la transparencia y la integridad del mercado bursátil.
La manipulación de sistemas electrónicos para alterar precios o engañar a inversionistas puede implicar multas muy elevadas y la inhabilitación para trabajar en el sector.

1. Ley Olimpia: cuando la violencia viaja en línea

Imagina la historia de Laura en otro escenario: no le vacían la cuenta, pero un ex–pareja publica fotografías íntimas sin su consentimiento y las comparte en grupos de WhatsApp. El daño, en este sentido, más que económico, es emocional y social.

Para estos casos existe la Ley Olimpia, un conjunto de reformas que:

• Reconoce la violencia digital como una forma de violencia de género.
• Tipifica como delito la difusión, producción o intercambio de contenido íntimo sin consentimiento.
• Castiga el acceso no autorizado a dispositivos para obtener ese material.

Las penas suelen ir de tres a seis años de prisión, además de multas y otras medidas de reparación. Casos recientes, como el de la actriz Issabela Camil frente a una plataforma de streaming, han reabierto el debate sobre cómo se aplica esta ley ante la ficción, los contenidos globales y el uso de inteligencia artificial.

Nuevas armas para viejos delitos: tendencias 2025

Los ciberdelincuentes no inventan el delito; reinventan la forma de cometerlo.
En 2025 se observan varias tendencias:

• Deepfakes y mensajes hiperpersonalizados creados con inteligencia artificial para hacer más creíbles las estafas.
• Ransomware-as-a-service, donde grupos criminales rentan su infraestructura a otros delincuentes.
• Ataques sin archivos (fileless) que se ejecutan en memoria y son más difíciles de detectar.
• Mayor explotación de la cadena de suministro: vulnerar a un proveedor pequeño para entrar a una empresa grande.

La ausencia de una ley única de ciberdelitos hace más compleja la investigación, pero no significa que estés desprotegido: el reto está en coordinar mejor a fiscalías, reguladores, sector privado y ciudadanía.

En el Día de la Seguridad Informática, ¿qué puedes hacer hoy?

Volvamos a la historia de Laura. Después del fraude, el banco le explicó que, si hubiera activado la autenticación multifactor, los atacantes no habrían podido concretar las transferencias. Le recomendaron denunciar, cambiar todas sus contraseñas y revisar sus movimientos periódicamente.

Lo que vivió ella deja varias lecciones:

Como persona usuaria

• Duda de los mensajes urgentes que piden actuar “ya”: revisa por tu cuenta entrando a la app o al sitio oficial, sin usar enlaces.
• Activa MFA en banca, correo y redes sociales.
• Usa contraseñas diferentes y un administrador de contraseñas confiable.
• Actualiza el sistema operativo y las apps con regularidad.
• Comparte menos de lo necesario en redes: cada dato es una pieza más del rompecabezas para la ingeniería social.

Como organización

• Define una estrategia de ciberseguridad basada en estándares como ISO 27001 o el NIST CSF 2.0.
• Capacita de forma continua a todas las áreas: el clic que abre la puerta no siempre viene de TI.
• Asegura lo básico: MFA, respaldos desconectados, segmentación de red y parcheo constante.
• Incluye requisitos de ciberseguridad en contratos con proveedores y audita su cumplimiento.
• Diseña y prueba un plan de respuesta a incidentes: a quién llamar, qué sistemas aislar, cómo documentar y cómo informar a clientes y autoridades.

Hacia una cultura de ciberseguridad en México

La historia de Laura podría haber terminado peor, pero también pudo evitarse.
Esa es, quizá, la idea más poderosa: los delitos informáticos no son inevitables.

México enfrenta una combinación compleja de alta exposición, digitalización acelerada y marcos legales en construcción. Pero también cuenta con:

• Normas cada vez más claras para proteger datos y sancionar conductas ilícitas.
• Movimientos ciudadanos que han impulsado reformas clave, como la Ley Olimpia.
• Empresas y organismos públicos que empiezan a asumir la ciberseguridad como parte central de su continuidad operativa.

El siguiente paso es cultural: pasar del “a mí no me va a pasar” al “¿qué estoy haciendo hoy para reducir el riesgo?”. En el Día de la Seguridad Informática, queremos recordarte que cada historia que evitamos es un pequeño triunfo en la construcción de un México más preventivo y seguro también en el mundo digital.