Transformation Trends
← Volver al blog
Regulaciones8 min lectura21 de junio de 2026

Cumplimiento en ciberseguridad e IA: lo que toda empresa en México debe saber en 2026

El entorno regulatorio en ciberseguridad está cambiando rápido, y las empresas mexicanas ya no pueden ignorarlo. Desde multas del INAI por violaciones a datos personales hasta nuevas exigencias de clientes extranjeros y marcos internacionales que cruzan fronteras, el cumplimiento se convirtió en un tema de dirección general — no solo de TI.

1. LFPDPPP — La ley que ya existe y muchos incumplen

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), vigente desde 2010, regula cómo las empresas privadas recopilan, usan, almacenan y transfieren datos personales de ciudadanos mexicanos.

Aplica a toda empresa privada que maneje datos personales — sin importar tamaño ni sector. Exige aviso de privacidad, consentimiento del titular, medidas de seguridad técnicas y administrativas, notificación en caso de brecha, y designar un responsable de protección de datos.

El INAI impuso MXN $46.8 millones en multas durante 2023 — 91 procedimientos iniciados, 74 con sanción. Las multas pueden alcanzar hasta 640,000 UMA (~MXN $69.5 millones) para infracciones con datos sensibles como salud, biométricos o financieros.

Lo que muchas empresas no saben: la ley exige medidas de seguridad proporcionales al tipo de datos manejados. Una empresa que maneje datos de salud o financieros tiene una responsabilidad considerablemente mayor que una que solo maneja nombres y correos.

2. Reforma a la LFPDPPP — El cambio que se aproxima

La LFPDPPP tiene más de 15 años sin una reforma mayor. Los proyectos que se discuten en el Congreso incluyen:

  • Derecho al olvido digital — posibilidad de exigir la eliminación completa de datos
  • Portabilidad de datos — poder transferir tu información entre empresas
  • Regulación de decisiones automatizadas — transparencia cuando un algoritmo toma decisiones sobre personas
  • Mayores obligaciones para tratamiento de datos a gran escala — especialmente relevante para plataformas digitales y empresas de análisis de datos

    • Aunque la reforma no ha sido aprobada al cierre de esta publicación, el INAI ha emitido lineamientos que anticipan su dirección. Las empresas que operen bajo estándares modernos (ISO 27001, NIST, marcos de EC-Council) estarán mejor posicionadas cuando entre en vigor.

    3. Ley General de Ciberseguridad — El proyecto más importante

    México es uno de los pocos países de la OCDE sin una ley nacional de ciberseguridad. Eso está por cambiar.

    Los elementos que han aparecido consistentemente en los proyectos presentados en el Congreso incluyen:

  • Creación de una Agencia Nacional de Ciberseguridad
  • Obligación de reportar incidentes cibernéticos significativos — actualmente no existe esta obligación en México para el sector privado en general
  • Estándares mínimos para operadores de infraestructura crítica: energía, agua, telecomunicaciones, salud, finanzas, transporte
  • Marco de respuesta a incidentes nacionales coordinada entre gobierno y sector privado

    • Si operan en sectores de infraestructura crítica, deberán acreditar controles mínimos y contar con planes de respuesta a incidentes documentados. Las certificaciones CEH, CND, ECIH y CCISO de EC-Council son los marcos que preparan a los equipos para cumplir estos requisitos.

    4. Regulación de Inteligencia Artificial

    México aún no tiene una ley de IA aprobada, pero el contexto internacional ya impacta a empresas mexicanas.

    El EU AI Act (vigente desde agosto 2024) aplica extraterritorialmente: si tu empresa vende en Europa o procesa datos de ciudadanos europeos, debes cumplir. Clasifica los sistemas de IA por riesgo:

  • Alto riesgo (reclutamiento, crédito, salud, seguridad): auditoría obligatoria, transparencia, supervisión humana
  • Riesgo inaceptable (manipulación, vigilancia masiva): prohibidos

    • El INAI emitió en 2024 recomendaciones sobre uso de IA en tratamiento de datos personales, señalando que los sistemas de decisión automatizada deben ser informados a los titulares. Aunque no son vinculantes aún, anticipan la dirección regulatoria.

    5. Regulaciones sectoriales vigentes

    Sector financiero — CNBV

    Las instituciones financieras, fintechs y SOFIPOS en México ya están sujetas a circulares de la CNBV que exigen controles de acceso, planes de continuidad de negocio, gestión de riesgos tecnológicos documentada y reportes de incidentes al regulador.

    Sector salud

    Los hospitales y clínicas que digitalizan expedientes clínicos deben cumplir con la NOM-024-SSA3-2012 para sistemas de información en salud. Los datos médicos son considerados datos sensibles bajo la LFPDPPP, lo que implica el régimen de sanciones más alto.

    6. Regulaciones de EE.UU. que afectan a empresas mexicanas

    SEC Cybersecurity Disclosure Rules (vigentes desde diciembre 2023): las empresas listadas en bolsas estadounidenses — incluidas subsidiarias mexicanas — deben reportar incidentes de ciberseguridad materiales dentro de 4 días hábiles. También deben revelar anualmente su gobierno y gestión de riesgos cibernéticos.

    CMMC (Cybersecurity Maturity Model Certification): si tu empresa provee a contratistas del Departamento de Defensa de EE.UU., el CMMC exige niveles certificados de madurez en ciberseguridad. El nivel 2 requiere cumplimiento con las 110 prácticas del NIST SP 800-171.

    Lo que debes hacer hoy

    El cumplimiento no es un proyecto de una sola vez — es una capacidad organizacional. Las empresas mejor preparadas para cualquier regulación futura tienen en común:

  • Personal certificado que traduce frameworks en controles concretos (CEH, CND, CCISO, ECIH)
  • Políticas documentadas de seguridad de la información
  • Gestión de activos — saber qué datos tienen, dónde están y quién accede a ellos
  • Plan de respuesta a incidentes probado y actualizado

    • ¿Qué certificación cubre cada regulación?

    Regulación

    LFPDPPP / INAI

    Exige

    Protección de datos personales, medidas de seguridad y notificación de brechas

    CNDECIHCCISO
    Regulación

    Ley General de Ciberseguridad

    Exige

    Controles documentados, gestión de incidentes e infraestructura crítica

    CEHCNDECIHCCISO
    Regulación

    EU AI Act

    Exige

    Gobernanza de sistemas de IA, auditoría y supervisión humana

    CCISOCEH
    Regulación

    SEC Cybersecurity Rules

    Exige

    Reporte de incidentes en 4 días y gobierno de riesgos cibernéticos

    CCISOECIH
    Regulación

    CMMC Nivel 2

    Exige

    110 prácticas NIST SP 800-171 para proveedores del DoD de EE.UU.

    CNDCEH

    ¿Quieres proteger tu empresa?

    Somos ATC certificado por EC-Council en México. Agenda una consulta sin costo.

    Habla con un Asesor

    Artículos relacionados

    Amenazas

    Ransomware en México: por qué las empresas del noroeste deben actuar ya

    Leer →    Certificaciones

    CEH: la certificación que el Departamento de Defensa de EE.UU. exige a sus proveedores

    Leer →