La Secretaría Anticorrupción y Buen Gobierno emitió una alerta el lunes para las dependencias federales sobre “vulnerabilidades fácilmente explotables” al utilizar sistemas de gestión de contenidos (CMS, por sus siglas en inglés) de licencia libre.
Derivado de las más de 20 investigaciones iniciadas por presuntas filtraciones de datos, Anticorrupción y Buen Gobierno adelantó en un comunicado que ha detectado dichas debilidades en los CMS de código abierto con complementos (plugins) y plantillas genéricas que no permiten un control total de su desarrollo.
La dependencia explicó que las vulnerabilidades en CMS ponen en riesgo los datos personales de los titulares y puede afectar la esfera más íntima de las personas.
En su diagnóstico, el Plan Nacional de Ciberseguridad presentado en diciembre pasado por la Agencia de Transformación Digital y Telecomunicaciones (ATDT) señala que México es el segundo país con más víctimas de ransomware en América Latina y el Caribe, debido principalmente a vulnerabilidades no atendidas y al uso de software no actualizado en las dependencias.
De acuerdo con el informe ENISA Threat Landscape 2025 de la Agencia de la Unión Europea para la Ciberseguridad, el sector público se consolidó en el último año como el más afectado por incidentes digitales.
El reporte destaca que la explotación de vulnerabilidades técnicas representa 21.3% de los puntos de acceso para intrusiones, derivando en la mayoría de los casos en la instalación de malware y el robo de información crítica.
Índice de temas
Nueva política evitaría vulnerabilidades en CMS
Para mitigar específicamente el riesgo de los CMS y sus complementos de terceros, la nueva Política General de Ciberseguridad, presentada en diciembre pasado, impone el principio de “Ciberseguridad por diseño” y el uso obligatorio de un Inventario de Componentes de Software (SBOM).
Estas herramientas permitirán a la Dirección General de Ciberseguridad (DGCiber) identificar debilidades en bibliotecas y dependencias externas antes de su puesta en producción.
Asimismo, el plan incluye un Programa Operativo de Evaluación de Vulnerabilidades que, a partir de 2026, ejecutará de forma sistemática pruebas de hacking ético, escaneos automatizados y revisiones de código en toda la Administración Pública Federal para asegurar que cualquier “plantilla genérica” o complemento cumpla con estándares estrictos de seguridad y cifrado.
Anticorrupción no descarta sanciones hasta penales
Anticorrupción y Buen Gobierno calificó la advertencia como la primera ocasión en que la autoridad garante en materia de protección de datos personales en México emprende acciones de esta magnitud, las cuales —advirtió— podrán dar lugar a sanciones administrativas e incluso penales.
Por ello, instó a todos los responsables del tratamiento de datos personales a solicitar su acompañamiento, a través de los canales institucionales, para asegurar el cumplimiento normativo y evitar sanciones.
En mayo de 2025, esta secretaría asumió las funciones de autoridad garante que le fueron transferidas del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
De hecho, la dependencia informó que se han identificado irregularidades en diversos procedimientos que fueron reportados indebidamente como concluidos por el extinto INAI.
En particular, detalló, se hallaron resoluciones sancionatorias cuya ejecución fue omitida, impidiendo el cobro de multas y generando un esquema de impunidad sistemática, por lo que —indicó— se dará el debido seguimiento de estos casos para evitar su repetición y adoptar las medidas legales que correspondan.
Además, señaló la necesidad de actualizar el marco legal de protección de datos personales y reveló que actualmente se trabajan propuestas de modificaciones a la normativa federal y general.
