Hacia un marco analítico verdaderamente latinoamericano de análisis de políticas públicas sobre ciberseguridad: una crítica desde la práctica de un joven egresado de Política y Gestión Social

30 enero 2026

Por Erick Mendoza Lara

Programa de Jóvenes Investigadores en Humanidades Digitales

 

La ciberseguridad en América Latina no puede entenderse desde las mismas lógicas que guían su análisis en contextos nacionales aislados. Cuando observamos el caso mexicano, encontramos un sistema público de ciberseguridad que, pese a sus esfuerzos institucionales, organizacionales, financieros y programáticos resultan insuficientes para cubrir el espectro completo de amenazas que representa el ciberdelito.

Esta insuficiencia no es casual ni exclusiva de México, responde a la característica estructural de la criminalidad digital que trasciende fronteras con una facilidad que algunos marcos analíticos publicados aún no han logrado capturar adecuadamente.

El cibercrimen es, por naturaleza, transnacional. Los [ciber]delincuentes operan desde jurisdicciones diversas y explotan la asimetría en las capacidades estatales de respuesta. Un ataque de ransomware puede originarse desde Europa, utilizar infraestructura de servidores en Asia, atacar empresas en México y blanquear capitales a través de criptomonedas en múltiples jurisdicciones internacionales.

Frente a esta realidad fluida y conectada, los marcos analíticos que pretenden comprender las políticas de ciberseguridad desde una óptica exclusivamente nacional resultan, en el mejor de los casos, parciales; en el peor, completamente inadecuados en un mundo tan conectado como el nuestro.

En mi caso, como parte de mi titulación en Política y Gestión por la UAM- Xochimilco, la disertación de mi tesina abordó la reconstrucción de la política de  ciberseguridad pública durante el periodo del expresidente Andrés Manuel López  Obrador (2018- 2024). Este ejercicio de análisis me permitió constatar, de primera mano, las limitaciones del estado de la investigación sobre ciberseguridad en México: hasta ese momento, prácticamente no existían estudios enfocados en reconstruir o identificar políticas públicas específicas en esta materia.

En mi tesina, reconstruí las acciones gubernamentales que pueden articular lo que se puede identificar como “política”, con ayuda de los instrumentos de acción pública que permiten analizar cómo el gobierno interviene para atender un problema público (Rosas, 2021). Es decir, los instrumentos normativos, organizativos, programáticos y financieros que podían articular una política de ciberseguridad implementada en el periodo analizado.

<iframe src=”https://archive.org/embed/mapeo-de-politica-de-ciberseguridad-amlo” width=”560″ height=”384″ frameborder=”0″ webkitallowfullscreen=”true” mozallowfullscreen=”true” allowfullscreen></iframe>

La propuesta de una política pública de ciberseguridad no fue lo único que supuso un reto. También quise evaluar sus capacidades institucionales. Fue entonces que se me atravesó, para mi suerte, el Centro LATAM Digital y su Marco analítico para el  análisis de políticas públicas sobre ciberseguridad en los países latinoamericanos, publicado por Gonzalo Bustos Frati y Carolina Aguerre, en 2022.

El análisis de dicho marco requiere una operacionalización metodológica alineada con las preferencias institucionales y las capacidades estatales. Para el componente de preferencias, el marco utiliza categorías binomiales (es decir, dicotomías entre dos “tipos ideales” que dividen las opciones en polos opuestos), lo que permite identificar si el Estado privilegia enfoques técnicos o políticos, así como modelos multisectoriales frente a esquemas predominantemente gubernamentales. En cuanto a las capacidades, se recurre a un sistema de indicadores empíricos que ubica al país en un continuo que va desde niveles iniciales hasta niveles avanzados de desarrollo.

En principio, la propuesta parecía prometedora. Se trataba de un instrumento diseñado específicamente para América Latina, con categorías operacionalizables y una aparente sensibilidad a las particularidades regionales.

Sin embargo, al intentar aplicarlo sistemáticamente al caso mexicano, comenzaron a emerger tensiones significativas entre la arquitectura conceptual del marco y la realidad empírica que yo había documentado de la política mexicana.

Estas tensiones se manifestaron principalmente en tres ejes donde la realidad institucional mexicana desbordó las categorías originales. La principal razón es que mi investigación reveló que en México existía una categoría no contemplada: la ausencia de política o el vacío institucional de tal variable.

Por ejemplo, el marco de Bustos y Aguerre (2022) propone en la variable de Alineamiento internacional en materia de ciberdelitos dos opciones binomiales: alineamiento con el Consejo de Europa o alineamiento con la Organización de Cooperación de Shanghái. Sin embargo, la realidad mexicana no encajaba en ninguno de estos polos. No se trataba de que México hubiera elegido una u otra opción; simplemente no existía una política articulada de alineamiento internacional en esta materia durante el sexenio analizado, es decir, una despriorización política.

Es por ello que mi investigación adopta y adapta el marco analítico propuesto por Bustos  y  Aguerre  (2022)  para  evaluar  las  capacidades  institucionales  en

ciberseguridad, con el fin de ajustarlos a las particularidades del contexto mexicano y a los objetivos específicos del estudio.

Esta adaptación se fundamentó en tres ejes metodológicos: la integración de indicadores originales bajo preferencias institucionales redefinidas; la creación de nuevas preferencias institucionales para abordar vacíos identificados; y la operacionalización de los indicadores cuantificables que permitiesen una evaluación estructurada. De igual forma, se recuperó la valoración de los indicadores que proponen Bustos y Aguerre (2022).

El primer eje de adaptación consistió en agregar nuevas preferencias para superar las limitaciones del marco original. Inicialmente, las variables y preferencias institucionales no consideraban la posibilidad de su ausencia, por lo que se incorporó esta opción en cada una de ellas. Además, algunas preferencias institucionales originales fueron conjuntadas para describirlas integralmente. Y se modificó un indicador que evaluaba la existencia de un organismo técnico o autónomo, reemplazándolo por indicadores que reflejaban cómo están estructurados estos organismos dentro del Estado mexicano.

El segundo eje implicó vincular los indicadores originales del marco original con las preferencias institucionales redefinidas. Por ejemplo, la variable titulada “Estructura organizacional en ciberseguridad”, se evaluó mediante el indicador de la existencia de un organismo de coordinación para determinar si las responsabilidades recaían en una entidad única o en múltiples instituciones. Esto derivó en la (re)creación de la preferencia como “andamiaje organizacional fragmentado” (para casos con múltiples organismos sin liderazgo centralizado) y “andamiaje organizacional centrado en un organismo rector” (para estructuras jerárquicas unificadas).

El tercer eje metodológico implicó la traducción de los hallazgos cualitativos en una matriz de evaluación cuantitativa. Cada preferencia institucional fue asociada a valores numéricos específicos, determinados por el cumplimiento de los indicadores vinculados. Teniendo una matriz final de evaluación con una puntuación máxima de 10, donde esta es capacidades avanzadas y el 0 capacidades iniciales en materia de ciberseguridad y ciberdelitos.

Concluí que el Estado mexicano, durante la administración de Andrés Manuel López Obrador (2018-2024), alcanzó una puntuación de 8/10, situando sus capacidades en materia de ciberseguridad en un nivel cercano al avanzado, pero del cual no se pudo (y tampoco se puede asegurar hoy) su efectividad real en la práctica. Dicho de otra manera, la existencia formal de instrumentos y capacidades no se tradujo en una reducción de la incidencia delictiva, registrándose un incremento del 372% en los incidentes cibernéticos entre 2017 y 2023.

Esta investigación me lleva a una crítica fundamental entre la desconexión de la teoría y la práctica de las políticas públicas en nuestra región. Si bien el marco

analítico de Bustos y Aguerre (2022) es un avance significativo al estar diseñado específicamente para América Latina, mi aplicación al caso mexicano demostró que un marco verdaderamente integral para nuestra región debe contemplar explícitamente los vacíos institucionales.

En América Latina, la desigualdad institucional no es una anomalía, sino una constante. Por ello, las categorías binominales tradicionales resultan insuficientes cuando la realidad empírica muestra una ausencia de política o un vacío derivado de la despriorización.

Un análisis situado debe ser capaz de documentar no solo lo que el Estado elige hacer, sino lo que deja de hacer por falta de recursos, voluntad política o por la existencia de un andamiaje organizacional fragmentado que diluye las responsabilidades.

En definitiva, para que la ciberseguridad deje de ser un conjunto de capacidades “en el papel” y se convierta en una protección real, debemos reconocer que los senderos de desarrollo institucional en nuestra región están marcados por la intermitencia y la asimetría. Sólo integrando el estudio de los vacíos y las ausencias podremos diseñar políticas que no aspiren a la madurez técnica y logren cerrar la brecha de inseguridad que afecta a la ciudadanía en su vida digital cotidiana.

Desde las humanidades digitales podemos aportar una mirada distinta: entender cómo la gente realmente vive la ciberseguridad en América Latina, y no solo cómo debería vivirla según los manuales y las “alertas” de la policía. Nos estamos quedando a medias si nos limitamos a analizar políticas públicas sin considerar las prácticas cotidianas, las desigualdades digitales reales, y las formas en que los ciudadanos negocian su seguridad en línea. Un marco latinoamericano necesita esa dimensión humana y contextual que reconozca que, detrás de cada dato, hay personas concretas enfrentando amenazas específicas.

Referencias

Rosas, A. (2021). Propuestas metodológicas para un mismo fin: el análisis de políticas públicas. En R. Hernández Mar, M. G. Martínez Tiburcio, J. E. Culebro Moreno, & A. Navarro (Eds.), Experiencias, retos y desafíos de la enseñanza de las políticas públicas en México (pp. 257-267). UAM.

Bustos Frati, G., & Aguerre, C. (2022). Marco analítico para el análisis de políticas públicas sobre ciberseguridad en los países latinoamericanos. Centro Latam Digital. https://centrolatam.digital/wp- content/uploads/2022/05/Marcoanali%CC%81tico_ciberseguridad-en-argentina.pdf

 

 

Semblanza: Erick Mendoza es investigador especializado en el uso de fuentes abiertas (OSINT) para la investigación digital y la defensa de los derechos humanos. Es egresado de la licenciatura en Política y Gestión Social por la Universidad Autónoma Metropolitana. Desde temprana edad se ha interesado por el hacking y el funcionamiento de los entornos digitales, lo que orientó su trayectoria hacia el análisis de evidencia digital, la verificación de contenidos y el estudio de políticas públicas de ciberseguridad en México, con un énfasis en el acceso y el conocimiento libre.