Ley de Ciberseguridad en México 2025: es una iniciativa, no ley — qué hacer hoy con tus equipos.

Cada cierto tiempo aparece en redes y en algún medio la frase "ya viene la Ley de Ciberseguridad en México" — a veces con tono de alarma, otras vendiendo un curso o un servicio "para cumplir antes de que entre en vigor". Antes de que tomes una decisión apurada con tu presupuesto de TI, conviene poner las cosas en su lugar: a la fecha de este artículo, esa ley no existe todavía. Lo que existe es una iniciativa, que es algo muy distinto.

Qué hay realmente: una iniciativa, no una ley.

El 30 de abril de 2025 se presentó en el Senado de la República una iniciativa de Ley General de Ciberseguridad. Eso significa que un legislador propuso un texto y lo turnó a comisiones para su estudio. Una iniciativa es el principio de un proceso, no el final: para convertirse en ley tendría que ser dictaminada, discutida y aprobada por las dos cámaras del Congreso y luego publicarse en el Diario Oficial de la Federación. Nada de eso ha ocurrido.

Conviene una aclaración honesta de entrada, porque es donde más se confunde la gente: una iniciativa no obliga a nadie a nada. No fija obligaciones exigibles, no impone sanciones y no tiene fecha de entrada en vigor — porque todavía no es norma. Además, su contenido puede cambiar de forma importante durante el camino legislativo, o incluso quedarse en el cajón sin aprobarse. Por eso, cualquier "plazo para cumplir" o "fecha en que entra en vigor" que escuches por ahí es, hoy, pura especulación.

"No hay una Ley de Ciberseguridad vigente en México: hay una iniciativa en el Senado. Lo que sí puedes hacer hoy no depende de que se apruebe — depende de que tengas la casa en orden."

Entonces, ¿por qué siquiera hablar del tema?

Porque la pregunta inteligente no es "¿cuándo me va a caer la ley?", sino "¿qué de todo esto ya me conviene hacer, exista o no la ley?". Y resulta que casi todo lo que cualquier marco de ciberseguridad serio pide en su base es, además, buena práctica de operación que te protege frente a cosas que sí están vigentes hoy: la obligación de proteger datos personales, los requisitos que te ponen clientes corporativos en sus contratos, y las condiciones de tu póliza de ciberseguro.

Dicho de otro modo: prepararte en lo que ya es buena práctica nunca es trabajo perdido. Si la iniciativa se aprueba algún día, llegas con la casa ordenada en vez de improvisando a las prisas; y si no se aprueba, de todos modos quedaste mejor protegido. Eso es prudencia, no alarmismo — y es lo contrario de gastar hoy por una urgencia que aún no existe.

La base de todo marco de ciberseguridad: higiene de activos.

Si lees cualquier estándar de seguridad —desde los controles básicos hasta marcos como ISO 27001— todos arrancan en el mismo punto, casi aburrido de tan obvio: no puedes proteger lo que no sabes que tienes. A eso se le llama higiene de activos, y se sostiene en tres cosas muy concretas que no requieren ninguna ley nueva para tener sentido:

1. Inventario de activos. Saber qué equipos existen en tu empresa, quién los usa, qué datos manejan y en qué estado están. Suena básico, pero la mayoría de las PyMEs no tiene una lista confiable — y un equipo que no aparece en ningún inventario es justo el que se pierde, se "presta" y nunca vuelve, o se da de baja sin que nadie borre nada.

2. Baja segura de equipos. Cuando una computadora sale de tu control —porque la vendes, la donas, la mandas a reciclar o la entregas a trade-in— sigue cargando correos, nóminas, contratos y accesos. Darla de baja "a la buena de Dios" es abrir una puerta. La baja segura significa borrar los datos de forma verificable y quedarte con evidencia de que así fue. Es la misma lógica que cubrimos a fondo en qué hacer con las computadoras viejas sin arriesgar tus datos.

3. Procedencia de lo que compras. Tu seguridad no empieza el día que enciendes el equipo: empieza en de dónde vino. Un equipo de origen desconocido, sin papeles ni historial, es una incógnita metida en tu red. Comprar con procedencia documentada —saber qué es, de dónde salió y cómo llegó preparado— es parte de tu higiene, no un lujo.

"Formatear" no es dar de baja con seguridad.

El error más común y más caro en la baja de equipo es creer que reinstalar el sistema o "formatear" el disco deja la máquina limpia. No es así: tras un formateo, buena parte de los datos sigue siendo recuperable con herramientas accesibles, muchas de ellas gratuitas. Por eso la baja segura se apoya en borrado certificado bajo el estándar de industria NIST 800-88: un método de borrado verificable más un certificado por cada equipo que documenta número de serie, método aplicado y fecha. Si quieres el detalle de qué es ese estándar y cómo se ve un certificado, lo tienes en nuestra guía de borrado certificado NIST 800-88. Esa constancia es la evidencia que cualquier marco —el que ya cumples y el que pudiera venir— te va a pedir tarde o temprano.

Tu proveedor de hardware también es parte de tu seguridad.

Hay un punto que se discute cada vez más en los marcos de ciberseguridad y que conviene tener en el radar: tu cadena de suministro. Quién te vende, te repara y te retira el equipo forma parte de tu superficie de ataque. Un proveedor que entrega equipos con procedencia clara y que se lleva los viejos con borrado documentado te suma seguridad por los dos lados; uno informal, que no puede mostrar de dónde salió lo que vende ni qué hizo con tus datos, te la resta. Es el mismo razonamiento que desarrollamos en nuestra lectura sobre el Plan Nacional de Ciberseguridad y la cadena de suministro confiable.

Qué hacemos nosotros.

En Rematech equipamos tu empresa con computadoras corporativas reacondicionadas —Dell, HP, Lenovo— con procedencia documentada y garantía propia, así sabes qué entra a tu red y de dónde viene. Y cuando renovamos o retiramos tu flota anterior —como retiro directo o tomándola a cuenta vía Trade-in— el equipo sale con borrado certificado de datos y constancia por equipo. Es justo la higiene de activos que conviene tener lista hoy: inventario claro, baja segura con evidencia y procedencia de lo que compras — sin necesidad de esperar a que se apruebe ninguna ley.