La ciberdelincuencia es una constante en Latinoamérica y México figura entre los países más vulnerables frente a delitos informáticos. De acuerdo con la Open Worldwide Application Security Project (OWASP), el fraude móvil y las estafas digitales son una de las principales preocupaciones a nivel global.
El informe, basado en más de 120 mil encuestas, relevó que un 42% de los usuarios ha sufrido ciberataques, malware o fraudes móviles; mientras que un 28% afirma haber sido víctima de estafas de ingeniería social, lo que refleja un panorama en riesgo creciente.
Ante este escenario, la ciberseguridad en México se vuelve indispensable, mucho más en lo que refiere a la aplicación de leyes, la prevención y la mitigación de actividades ilícitas en línea. Descubre cómo actuar frente a un delito informático y resguardar tus activos digitales.
Índice de temas
¿Qué son los delitos informáticos?
Los delitos informáticos son acciones ilícitas cometidas utilizando medios digitales. Estos abarcan desde el robo de datos y la suplantación de identidad hasta el fraude financiero y el sabotaje informático.
| Ciberdelito | Descripción |
|---|---|
| Hacking | Extracción de datos sin el consentimiento del usuario |
| Cracking | Ataques intencionados a sistemas informáticos y software |
| Phishing | Forma de engaño para obtener información confidencial bancaria de forma ilicita |
| Spamming | Mensajes digitales con credencialesde internet falsas a correos electrónicos y redes sociales |
| Ciberterrorismo | Extorsión digital a cambio de dinero u otro bien |
Entre los tipos de ciberdelitos en México más reportados por empresas y organismos públicos destacan el phishing y sus variantes (vishing y smishing), el ransomware con extorsión, el acceso no autorizado y la exfiltración de datos, así como el fraude electrónico en servicios financieros y comercio digital.
La prevalencia y el impacto económico varían por sector, madurez de controles y exposición de terceros. Quienes los perpetran incluyen:
- Individuos expertos en informática
- Grupos organizados especializados en actividades delictivas
- Entidades estatales que ejecutan ciberataques por razones políticas o económicas
Panorama de los delitos informáticos en México
En el caso de México, Fortinet indica que el país latinoamericano representó poco más de la mitad de todas las ciberamenazas reportadas a nivel regional en el primer semestre de 2024. Esto, afirmó Jorge Miranda, director de Fortinet, puede deberse a los vínculos territoriales y comerciales con Estados Unidos.
Es sabido que Estados Unidos mantiene una relación bilateral con México en el negocio del nearshoring, desplazando su producción hacia lugares más cercanos territorialmente. Según Reuters, los cibercriminales apuntaron sus ataques a la lógistica, el automovilismo y la producción de tecnología.
De este modo, maximizan sus ataques y garantizan un motín más grande por el rescate de sus ataques. De acuerdo con el Foro Económico Mundial, en 2024, México sufrió 31,000 millones de delitos cibernéticos; representando un 55% de los delitos totales en América Latina.
En el contexto de cibercrimen México 2025, las cifras confirman una presión sostenida sobre sectores críticos (finanzas, manufactura, logística y tecnología). Para directivos, el foco debe estar en controles básicos bien ejecutados (MFA, copias de respaldo desconectadas, segmentación de red, parches a tiempo), pruebas de respuesta a incidentes y acuerdos con terceros que incluyan métricas y auditorías.”
A estas cifras se suman las del FBI Internet Crime Complaint Center (IC3) que, en 2024, registró 859.532 denuncias por ciberdelitos con pérdidas reportadas de 16.6 mil millones de dólares (+33% vs. 2023).
El informe también destaca que el ransomware volvió a ser la amenaza más extendida para infraestructura crítica y que las denuncias por este vector crecieron 9% interanual.
México figura además entre los 20 países con más quejas presentadas ante IC3 y aparece dentro de los principales destinos internacionales a los que los delincuentes intentaron desviar transferencias fraudulentas, lo que subraya la urgencia de fortalecer la colaboración público-privada y los mecanismos de respuesta temprana.
Por último, el contexto regional añade presión: de acuerdo con el Banco Mundial (2024–2025), los incidentes cibernéticos divulgados crecen 21% anual a nivel global, con Latinoamérica y el Caribe como la región de crecimiento más acelerado (25% anual).
En economías de ingreso medio alto —grupo en el que se ubica México— el aumento es aún mayor (37% anual). El estudio estima que reducir los incidentes graves del cuartil superior al inferior podría elevar el PIB per cápita 1.5% en una década, una métrica clave para directivos que buscan justificar inversiones en ciberseguridad.
Clasificación de los delitos informáticos
De acuerdo con el Convenio de Budapest sobre la Ciberdelincuencia, existen cuatro categorías para describir a los delitos informáticos. Estas nomenclaturas armonizan un estandard global para legislar y promover iniciativas contra la ciberdelincuencia:
| Categoría de delito informático | Descripción | Ejemplos |
|---|---|---|
| Tecnología como objetivo | Ataques dirigidos directamente contra la infraestructura tecnológica. Buscan dañar, alterar o extraer información sin autorización. | Ataques de denegación de servicio (DDoS) |
| Intrusión a sistemas | ||
| Sabotaje informático | ||
| Robo o extracción de datos sensibles | ||
| Tecnología como herramienta | La tecnología se utiliza como medio para cometer un delito tradicional o nuevo. | Phishing (suplantación de identidad) |
| Ransomware | ||
| Malware | ||
| Estafas online (fraudes financieros, engaños por redes sociales, etc.) | ||
| Delitos relacionados con contenidos | Implican la producción, almacenamiento, distribución o acceso a contenidos ilícitos mediante medios digitales. | Difusión de material ilegal |
| Discurso de odio | ||
| Propaganda terrorista | ||
| Incitación a delitos a través de plataformas digitales | ||
| Delitos contra la propiedad intelectual | Infracciones a derechos protegidos por propiedad intelectual usando sistemas informáticos. | Piratería de software |
| Violación de derechos de autor | ||
| Uso no autorizado de patentes o marcas registradas en entornos digitales |
Aunque el Convenio fue adoptado en 2001, continúa siendo una referencia clave para combatir el cibercrimen y e inspirar nuevos tratados. Su relevancia fue tal, que impulsó la Convención de la ONU sobre Ciberdelincuencia en 2024.
En materia de cooperación internacional, la Asamblea General de la ONU adoptó en diciembre de 2024 una convención integral contra la ciberdelincuencia, con el objetivo de facilitar asistencia jurídica mutua y armonizar tipificaciones para delitos transfronterizos.
Para empresas con operaciones regionales, esto implica un marco más claro para la colaboración con autoridades cuando los incidentes involucran múltiples jurisdicciones.
Distribución mundial de los delitos informáticos
En el último análisis de la empresa de software Fortinet, sus sensores IPS detectaron más de 97 000 millones de intentos de delitos informáticos. Esto indica que los ciberdelincuentes están continuamente sondeando sistemas expuestos.
La cuestión de esto ya no es si una empresa será atacada, sino cuándo y con qué rapidez.
Los atacantes son metódicos y persistentes, afirma el reporte, y no distingue fronteras. De modo que Asia-Pacífico (APAC) representó la mayor porción de ataques mundiales: un 42%.
Le siguen Europa, Oriente Medio y África (EMEA), con un 26%; Norteamérica, con 20%; y Latinoamérica, con un 11%. Respecto a este último, México representó poco más de la mitad de todas las ciberamenazas reportadas en el primer semesre de 2024; afirma un artículo de Reuters.
A nivel táctico, los grupos de ransomware siguen activos contra organizaciones de infraestructura crítica en América y Europa. En junio de 2025, CISA, FBI y la agencia australiana ACSC publicaron una actualización sobre la operación “Play”: el FBI identificó 900 entidades explotadas hasta mayo de 2025.
En este sentido, recomienda medidas básicas pero cruciales como MFA, copias de respaldo desconectadas, planes de recuperación probados y parcheo continuo, que siguen marcando la diferencia en resiliencia.
Los intentos de phishing mantienen una presión constante sobre usuarios y empresas. La Anti-Phishing Working Group (APWG) contabilizó 932.923 ataques en el 3T 2024, con redes sociales como el sector más atacado (30.5%).
Además, los vishing (llamadas) y smishing (SMS) aumentaron más de 28% y 22%, respectivamente, confirmando que los atacantes diversifican canales para maximizar conversiones.
Conductas consideradas delito en México
Delitos informáticos en las finanzas
En el sector financiero, la Ley de Instituciones de Crédito tipifica como delito informático las siguientes acciones:
- Proporcionar datos falsos para obtener créditos
- Falsificar tarjetas de crédito o débito
- Acceder sin autorización a sistemas bancarios para robar información
Estos delitos, bajo un contexto especial, forman la tormenta perfecta para un ciberdelincuente. Un caso así fue la pandemia de Coronavirus en México, donde, según una investigación de la Universidad de Guadalajara, hubo un aumento del 4.1% en delitos relacionados con la falsificación de información.
Delitos informáticos en el Código Penal
Estas conductas también están reguladas en el Código Penal Federal, que detalla los delitos relacionados con la revelación de secretos y el acceso no autorizado a sistemas informáticos:
- Artículo 211 bis 4: Acceder sin autorización, modificar, destruir o copiar información contenida en sistemas informáticos del sistema financiero
- Artículo 211 bis 5: Acceder de forma indebida cuando se está autorizado, pero se usa incorrectamente
La pena se agrava cuando esto ocurre con empleados burocráticos y los castigos pueden incluir desde 6 meses hasta 4 años de prisión, además de multas que implican el pago de un determinado valor.
Delitos informáticos con activos virtuales
La Suprema Corte de Justicia de la Nación de México, bajo la Ley para Regular las Instituciones de Tecnología Financiera (ITF) de 2018; contempla a las siguientes conductas como delitos informáticos:
- Proporcionar información falsa para obtener autorizaciones
- Divulgar o usar información confidencial sin consentimiento
- Acceder sin autorización a sistemas informáticos de estas instituciones
- Desviar fondos o activos virtuales
- Suplantar identidades para obtener beneficios ilegítimos
Además, contempla una serie de multas e incluso prisión, dependiendo la gravedad del delito cometido:
En 2024, quien disponga de los recursos de las IFT para operar de forma indebida, recibirá tres a nueve años de prisión o 5,000 a 150,000 UMA (unidad de medida y actualización).
Protección de datos personales
La LFPDPP regula el tratamiento de datos personales sensibles y garantiza los derechos ARCO (acceso, rectificación, cancelación y oposición).
Su cumplimiento es supervisado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Recientemente, varios casos de filtraciones masivas de información han destacado la necesidad de mejorar la ciberseguridad.
A su vez, México ratificó el Estatuto de Roma en 2005 y desde 2017 el Senado ha solicitado adherirse al Convenio de Budapest. Aunque existen cerca de 15 iniciativas legislativas sobre delitos informáticos, aún no hay una ley específica.
En estos casos, el bien jurídico protegido es la información (mensajes, imágenes, sonidos).
Principales leyes que regulan los delitos informáticos en México
La legislación mexicana contra delitos informáticos se apoya en un marco complementario que incluye el Código Penal Federal, la LFPDPPP, la Ley de Instituciones de Crédito y la Ley del Mercado de Valores.
Para áreas de cumplimiento y comités de riesgo, este entramado define conductas, sanciones y obligaciones de resguardo y reporte, con impactos directos en continuidad operativa y reputación. En resumen las principales normas son:
- Código Penal Federal
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
- Ley de Instituciones de Crédito
- Ley del Mercado de Valores
Estas leyes establecen sanciones específicas y detalladas para diferentes delitos relacionados con el uso de tecnologías de la información.
Código Penal Federal: delitos y sanciones
El Código Penal Federal incluye artículos que penalizan el acceso no autorizado a sistemas, modificación de información protegida, uso de datos confidenciales y ataques a sistemas del Estado. Las penas incluyen:
- Revelación de secretos (Art. 211): 1 a 5 años de prisión, multas y suspensión profesional
- Uso indebido de comunicaciones privadas (Art. 211 Bis): 6 a 12 años de prisión y multas
- Acceso ilícito a sistemas (Art. 211 Bis 1): 6 meses a 2 años de prisión y multas; penas menores por copia de datos
- Ataques a sistemas del Estado (Art. 211 Bis 2): Hasta 10 años de prisión, con agravantes para funcionarios
- Agravantes: Sanciones duplicadas si se afecta la procuración de justicia o registros judiciales
Otra característica destacada es su enfoque en el uso de sistemas informáticos para cometer fraudes y otras actividades delictivas. La normativa considera agravantes cuando estas acciones afectan sistemas críticos, como los relacionados con la seguridad pública o el sector financiero.
Ley Federal de Protección de Datos Personales (LFPDPPP)
La LFPDPPP regula el uso de datos personales por particulares. Establece principios como licitud, consentimiento, proporcionalidad y responsabilidad. Otorga derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Sanciones administrativas
- Multas: De 100 a 320,000 días de salario mínimo, dependiendo de la gravedad
- Duplicación de multas: Cuando hay reincidencia o se afecta información sensible
- Apercibimientos: Advertencias del INAI en infracciones menores
Sanciones penales
- Hasta 5 años de prisión por uso doloso o mediante engaño de datos personales
- Penas duplicadas si se trata de datos sensibles
Su objetivo principal es garantizar el derecho a la privacidad y la protección de los datos personales, estableciendo lineamientos claros sobre su recolección, manejo, almacenamiento y transferencia.
Entre las disposiciones más importantes de esta ley se encuentra la obligación de obtener el consentimiento del titular antes de recolectar sus datos. Además, establece los principios de licitud, finalidad, proporcionalidad, calidad, consentimiento, información, y responsabilidad, que deben regir el tratamiento de la información personal.
Ley de Instituciones de Crédito (LIC)
La LIC aplica a delitos en el sector bancario, como acceso no autorizado, manipulación de datos o fraude electrónico. Obliga a las instituciones a adoptar medidas de ciberseguridad.
Sanciones
- Multas: Determinadas por la CNBV según la gravedad del delito
- Suspensión e inhabilitación: De 3 meses a 5 años para funcionarios implicados
- Sanciones penales: En casos graves de fraude o vulneración de sistemas financieros
Esta ley busca proteger los recursos financieros de los clientes, garantizar la seguridad de las operaciones y prevenir el acceso indebido a sistemas de información críticos de las instituciones de crédito.
En el ámbito de los delitos informáticos, la LIC sanciona actividades como la falsificación, uso indebido de sistemas electrónicos bancarios y el acceso no autorizado a información financiera.
Ley del Mercado de Valores
La Ley del Mercado de Valores regula el funcionamiento del mercado bursátil. Protege la información financiera y sanciona el uso ilícito de sistemas electrónicos.
Sanciones
- Multas: Hasta 150,000 días de salario por manipular mercado o no cumplir requisitos de transparencia
- Inhabilitación: Hasta 5 años para empleados responsables
- Reducción de multas: Si el infractor coopera o resarce daños
Su objetivo principal es garantizar un mercado transparente, eficiente y competitivo, protegiendo a los inversionistas y fomentando el desarrollo económico. La ley también otorga facultades a la Comisión Nacional Bancaria y de Valores (CNBV) para supervisar y sancionar irregularidades en el sector.
El caso de la Ley Olimpia
La Ley Olimpia es un conjunto de reformas legales aprobadas en México para combatir la violencia digital, específicamente la difusión no autorizada de contenido íntimo y la invasión de la privacidad en plataformas digitales.
Nació como respuesta a un movimiento ciudadano liderado por Olimpia Coral Melo, quien vivió en carne propia la afectación que estas prácticas generan. La ley fue adoptada a nivel federal en 2021 y establece un marco jurídico para sancionar actos que vulneren la intimidad a través de medios digitales.
Esta normativa introduce cambios en el Código Penal Federal y leyes locales, tipificando como delito la difusión, producción o intercambio de imágenes, videos o audios con contenido íntimo, sin el consentimiento de la persona involucrada.
Además, sanciona el ciberacoso y la invasión de dispositivos electrónicos con fines de obtener material privado.
Las penas varían según la gravedad del caso, oscilando entre tres y seis años de prisión, así como multas económicas. La Ley Olimpia reconoce la violencia digital como una forma de violencia de género.
Violencia digital: el caso de Issabela Camil
En 2025, la actriz mexicana Issabela Camil realizó una demanda contra Netflix México por la representación no autorizada de su imagen y la difusión de escenas sexuales en Luis Miguel, la serie, argumentando que se vulneraron sus derechos de intimidad y se incurrió en violencia digital, en el marco de la Ley Olimpia.
El caso se volvió viral gracias a la difusión de escenas de contenido íntimo que, según la demanda, representan a la actriz sin su consentimiento. Una vez presentada la demanda, la Fiscalía General de la República (FGR) ordenó la eliminación de estas escenas.
El juez de control Roberto Posán Tornero ratificó las medidas de protección en febrero de 2025, por considerar las tomas de la serie violatorias de su derecho a la intimidad sexual.
Más tarde, Netflix México respondió la demanda, alegando que no es responsable del contenido, ya que este lo determina la casa matríz en Estados Unidos. En conversación con El País, la abogada Diana Luz Vázquez cruzó la demanda con los nuevos usos de la IA, afirmando lo siguiente:
La demanda es pionera, por esta forma en la que opera el patriarcado a través de la inteligencia artificial, de disfrazar la sexualización de las mujeres y que en este caso, en el tema de la legislación de la Ley Olimpia, no hay una referencia explícita cuando se habla de la ficción.
Esta defensa fue criticada por especialistas en derechos digitales como una forma de evadir responsabilidades y obstaculizar a las víctimas para protegerse y hacer cumplir la ley mexicana.
Casos como estos pone sobre la mesa la necesidad de reformar o ampliar el alcance de la Ley Olimpia para incluir con claridad casos de ficción, plataformas globales y tecnologías como la inteligencia artificial.
Preguntas frecuentes sobre delitos informáticos en México
¿Qué medidas deben implementar las empresas en México para prevenir delitos informáticos y cumplir con la legislación vigente?
Las empresas deben establecer controles de ciberseguridad basados en normas como ISO 27001, realizar auditorías regulares y capacitar al personal sobre protección de datos. Además, deben cumplir con la LFPDPPP y mantener evidencia de consentimiento informado y protocolos de respuesta a incidentes. También conviene alinearse al programa con el NIST Cybersecurity Framework 2.0 (CSF 2.0, 2024), que aplica a organizaciones de todos los tamaños y sectores y refuerza la “gobernanza” y la gestión de la cadena de suministro.
¿Qué impacto tiene el Convenio de Budapest en la legislación mexicana sobre ciberdelitos?
Aunque México aún no es parte formal del Convenio, sus principios ya influyen en reformas legales y propuestas legislativas. Su adopción impulsaría la cooperación internacional y fortalecería el marco penal para delitos transfronterizos.
¿Cómo afecta la ausencia de una ley específica de cibercrimen a la persecución penal en México?
La falta de una ley integral limita la tipificación clara de delitos y genera vacíos jurídicos que dificultan investigaciones y sanciones. Esto también reduce la efectividad de la cooperación internacional en materia de ciberseguridad.
¿Qué tecnologías emergentes están siendo utilizadas por ciberdelincuentes en México en 2025?
El uso de inteligencia artificial para crear deepfakes, automatizar ataques de phishing y vulnerar sistemas mediante machine learning está en aumento. También se observa el uso de malware sin archivos (fileless attacks) y herramientas de ransomware-as-a-service.
