Por Pablo Cabañas Díaz
Cuando el gobierno mexicano fue hackeado masivamente entre diciembre de 2025 y enero de 2026, las personas en las redes sociales intentaron hacer una pregunta elemental: ¿quién protege mis datos? La respuesta fue el silencio administrativo. Correos automáticos, comunicados sin firma y la frase burocrática que sintetiza la impotencia del poder contemporáneo: “incidente en investigación”. El mismo gobierno que exige declaraciones fiscales, historiales médicos completos, datos biométricos y ahora registros obligatorios de telefonía celular, fue incapaz de ofrecer una sola cara responsable. Esa escena mínima —repetida en oficinas públicas y bandejas de entrada— es la radiografía más precisa del fracaso de la ciberseguridad en México: un poder que recauda información total y ofrece protección mínima.
La presidenta Claudia Sheinbaum defendió el registro obligatorio de números de telefonía celular vinculados a la identidad de los usuarios, vigente desde el 9 de enero, como parte de la Estrategia Nacional de Seguridad para combatir la extorsión y el fraude telefónico. Según su explicación, los datos permanecen bajo resguardo de las empresas privadas, deslindando al Estado de cualquier responsabilidad directa. La afirmación no es menor: el gobierno exige la concentración de información sensible, pero transfiere la culpa de su posible filtración a terceros. El Estado manda, pero no responde.
La creación, en enero de 2025, de la Agencia de Transformación Digital y Telecomunicaciones fue presentada como el emblema del nuevo Estado moderno. Centralizar sistemas, ordenar el caos tecnológico y conducir al país hacia la digitalización prometida se volvió consigna. Al frente fue designado José Antonio Peña Merino, politólogo formado en el CIDE y doctorado en la Universidad de Nueva York, representante de una tecnocracia convencida de que la eficiencia administrativa puede sustituir al conflicto político. Su experiencia en la Ciudad de México fue presentada como aval suficiente. Un año después, los hechos demolieron el discurso.
México se consolidó como uno de los países más atacados de América Latina. Las instituciones vulneradas no fueron marginales, sino el núcleo mismo del aparato estatal: el SAT, el IMSS-Bienestar, la UNAM, la Secretaría Anticorrupción, poderes judiciales estatales y gobiernos locales estratégicos. El llamado Estado digital apareció no solo incompleto, sino desnudo. Entre diciembre de 2025 y enero de 2026, el ataque atribuido al grupo Chronus confirmó lo evidente: millones de registros fiscales, médicos y de identidad personal circularon fuera de cualquier control institucional. No fue una sorpresa, fue una negligencia anunciada.
La reacción oficial siguió el manual clásico del poder cuando pierde el control: minimizar, dilatar, rebautizar el colapso como “presunta vulneración”. El lenguaje intentó cubrir la grieta, pero solo la hizo más visible. Mientras se legislaba el futuro digital, el presente se desmoronaba. Centralizar datos sin una estrategia nacional de ciberseguridad no es modernizar: es concentrar el riesgo.
El problema no es técnico, es político. Sistemas fragmentados, dependencia de proveedores externos, ausencia de auditorías permanentes, escasez de personal especializado y una ambigüedad deliberada en la cadena de responsabilidades han construido un ecosistema ideal para el desastre. Nadie responde porque nadie firma; nadie manda porque todos administran. Cada filtración se presenta como incidente aislado cuando forma parte de una crisis estructural del Estado mexicano frente a la tecnología.
El registro nacional de usuarios de telefonía móvil sintetiza esta lógica perversa: vigilancia sin protección, control sin responsabilidad. El ciudadano es obligado a entregar su identidad digital completa, pero queda solo cuando esa información es expuesta. El Estado exige confianza, pero no la garantiza. Y sin protección de datos no hay soberanía digital, solo simulación.
México enfrenta una disyuntiva que no admite retórica. O la política digital se asume como asunto de seguridad nacional —con inversión real, control de infraestructuras críticas y rendición de cuentas efectiva— o se normaliza el colapso. Todo indica que se ha optado por lo segundo. Cada ataque es seguido por un comunicado ambiguo; cada filtración, por una promesa futura. Un Estado que no puede proteger los datos que resguarda pierde algo más que información: pierde autoridad. La ciberseguridad ya no es un asunto de ingenieros ni de oficinas técnicas; es una cuestión de poder. Y hoy, en México, ese poder aparece peligrosamente vulnerado.
