Plan Nacional de Ciberseguridad de México: tu proveedor de hardware es parte de tu cadena de suministro confiable.
A finales de 2025, México presentó su Plan Nacional de Ciberseguridad y publicó la política para el gobierno federal. Una idea atraviesa todo el documento: tu seguridad no termina en tus sistemas, también es la de tus proveedores. Acá te explicamos qué significa "cadena de suministro confiable", por qué de quién compras tu equipo de cómputo es parte de tu superficie de ataque, y por qué el reacondicionado con procedencia y borrado certificado encaja como tercero confiable — con la prudencia de que el alcance al sector privado aún se está definiendo.
El 4 de diciembre de 2025 se presentó el Plan Nacional de Ciberseguridad 2025-2030, y poco después, el 17 de diciembre de 2025, se publicó en el Diario Oficial de la Federación la Política de Ciberseguridad de la Administración Pública Federal (código 5776454). Para la mayoría de las empresas suena a "cosa de gobierno" — y en su alcance directo, hoy, lo es. Pero hay una idea de fondo que conviene leer con atención, porque marca hacia dónde va la conversación de seguridad en México: tu ciberseguridad no se acaba en tus propios sistemas. También es la de quienes te venden equipo, software y servicios.
Primero, lo honesto: a quién obliga hoy y a quién todavía no.
Vale la pena empezar por la prudencia, porque es donde más fácil se exagera. La política publicada en el DOF está dirigida a las dependencias y entidades del gobierno federal. No es, en este momento, una obligación vigente que le caiga a tu empresa privada por el solo hecho de existir. El alcance exacto al sector privado todavía está en definición y depende de los lineamientos previstos hacia mediados de 2026.
Por eso aquí no te vamos a decir que "ya estás obligado a X". Lo que sí está claro es la dirección: cuando un país pone su política de ciberseguridad por escrito y le dedica un eje entero a los proveedores, ese criterio rara vez se queda dentro del gobierno. Tiende a permear hacia los contratos, las licitaciones y las exigencias que las organizaciones grandes le pasan a sus proveedores. Lo inteligente no es esperar al texto final asustado, sino entender la lógica desde ahora.
"La política de ciberseguridad de hoy es del gobierno federal. La lógica que propone —cuida a tus proveedores como te cuidas a ti— es la que, con casi total seguridad, terminará llegando a tu empresa por la vía de los contratos."
El Eje 6: la cadena de suministro y los terceros confiables.
Dentro de esa política hay un Eje 6 dedicado a la cadena de suministro y a los terceros confiables. La idea es sencilla de explicar y difícil de ignorar una vez que la ves: tu superficie de ataque incluye a tus proveedores. No importa qué tan bien blindes tus accesos y tus servidores si el equipo, el software o el servicio que metes a tu operación entra contaminado, sin trazabilidad o con un punto débil que tú no controlas.
En ciberseguridad esto tiene nombre: ataques a la cadena de suministro. Es cuando alguien no te ataca de frente, sino a través de un eslabón en el que confiabas — un proveedor, un componente, un equipo de segunda mano cuyo origen nadie verificó. El concepto de "tercero confiable" es la respuesta: no basta con que un proveedor sea barato o conveniente; tiene que ser verificable. Tienes que poder responder de dónde viene lo que te entregó y qué garantías trae.
Tu proveedor de hardware también es un eslabón.
Cuando se habla de "cadena de suministro confiable" en TI, casi siempre se piensa en software: librerías, actualizaciones, servicios en la nube. Pero el hardware es un eslabón igual de real, y mucho más fácil de pasar por alto. La computadora que llega a tu empresa tiene un origen, un historial y un disco que pudo haber pasado por otras manos. Si compras a un vendedor informal, en un marketplace anónimo o a quien "consiguió un lote barato", estás metiendo a tu operación un activo del que no puedes responder nada: ni de dónde salió, ni qué traía dentro, ni si los datos del dueño anterior fueron borrados de verdad.
Eso es exactamente lo que un enfoque de tercero confiable busca evitar. La pregunta deja de ser "¿cuánto me costó?" y pasa a ser "¿puedo demostrar de dónde vino y qué garantías trae?". Es la misma lógica de procedencia que ya cubrimos al explicar de dónde viene el equipo reacondicionado: un equipo con historia documentada es un activo bajo control; uno de origen incierto es una incógnita que entró por la puerta de compras.
Reacondicionado con procedencia y borrado: por qué encaja como "tercero confiable".
Aquí es donde el reacondicionado serio se separa del de subasta anónima. Un proveedor de reacondicionado que opera bien te entrega tres cosas que un eslabón confiable debería dar: trazabilidad de origen, datos suprimidos de forma verificable y respaldo formal.
Procedencia documentada. No es equipo "que apareció": viene de programas formales de retiro de flota corporativa, con una cadena que se puede explicar. Sabes qué es, de dónde salió y por qué está disponible.
Borrado certificado de datos. Cada disco se borra con un método verificable antes de salir del taller, de modo que el equipo llega limpio: sin datos del dueño anterior, sin sorpresas. Si quieres entender a fondo qué es ese estándar y cómo se ve la evidencia, lo explicamos en nuestra guía de borrado certificado NIST 800-88. Ese mismo borrado aplica en los dos extremos: tanto en el equipo que recibes como en la flota vieja que retiras.
Factura y respaldo. La operación se documenta con factura y garantía, no con un trato de palabra. Eso te da algo que mostrar — a tu área legal, a tu auditor, a un cliente que te pregunte por tus proveedores.
Junta las tres y tienes lo opuesto a un eslabón débil: un proveedor del que sí puedes responder. Eso es, en términos prácticos, lo que significa ser un tercero confiable en la parte de hardware de tu cadena de suministro.
Qué conviene hacer hoy, sin alarmismo.
Como el alcance al sector privado aún está en definición, lo sensato no es correr a cumplir una obligación que todavía no te aplica, sino adelantar la higiene que de todos modos te conviene. Tres pasos sencillos: ten claro de quién compras tu equipo y si puede documentar su origen; exige borrado certificado y factura como requisito mínimo, no como extra; y guarda esa evidencia. Si más adelante los lineamientos terminan empujando a las empresas a evaluar a sus proveedores de TI —o si un cliente corporativo te lo pide por contrato antes que la ley—, ya estarás del lado correcto sin haber hecho nada a las prisas.
Qué hacemos nosotros.
En Rematech entregamos computadoras corporativas reacondicionadas con procedencia documentada, borrado certificado de datos y factura: las tres piezas de un proveedor del que puedes responder. Cuando equipamos tu empresa, el equipo llega limpio y con respaldo; y cuando renovamos o retiramos tu flota anterior —o la tomamos a cuenta vía Trade-in— sale con borrado certificado y constancia por equipo. Así, el día que alguien pregunte por tu cadena de suministro de TI, tienes una respuesta con evidencia, no una promesa.
Lo que más nos preguntan sobre el Plan Nacional de Ciberseguridad.
Artículos que te pueden interesar
Equipa con un proveedor del que puedas responder.
Computadoras corporativas reacondicionadas con procedencia documentada, borrado certificado y factura. Cotiza tu equipo — y si quieres, renovamos y retiramos tu flota anterior con constancia por equipo.