Legal · Regulación

¿Qué pasa legalmente si hackean tu empresa en México?

21 de mayo, 2026  ·  9 min de lectura

Ser víctima de un hackeo no solo genera daños operativos y económicos inmediatos. En México, dependiendo de qué datos fueron comprometidos y cómo respondiste al incidente, también activa un conjunto de obligaciones legales que muchos empresarios desconocen. Ignorarlas puede convertir a la empresa víctima en responsable ante la ley.

Este artículo explica el marco legal aplicable, qué debes hacer obligatoriamente y cómo protegerte legalmente ante un incidente de seguridad.

No existe en México una ley única de ciberseguridad empresarial, pero sí un conjunto de ordenamientos que, combinados, establecen obligaciones concretas para las empresas que sufren incidentes. Los más relevantes son:

Principal
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

Es la ley más relevante para la mayoría de las empresas. Aplica a cualquier persona moral o física del sector privado que trate datos personales — es decir, prácticamente cualquier empresa con empleados o clientes en México.

La LFPDPPP establece que el responsable del tratamiento de datos (tu empresa) debe implementar medidas de seguridad "administrativas, técnicas y físicas" para proteger los datos personales contra daño, pérdida, alteración, destrucción o acceso no autorizado.

Cuando ocurre una vulneración que afecta de manera significativa los derechos patrimoniales o morales de los titulares, el responsable tiene la obligación de informarles para que puedan tomar medidas defensivas. El reglamento de la ley y los lineamientos del INAI detallan el contenido mínimo de esta notificación.

Sanciones
Multas del INAI por incumplimiento de la LFPDPPP

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el órgano encargado de vigilar el cumplimiento de la LFPDPPP y de imponer sanciones.

Rango de multas: De 100 a 160,000 días de salario mínimo general vigente en la Ciudad de México, dependiendo de la infracción. Al tipo de cambio y salario mínimo de 2026, esto equivale a rangos que van desde aproximadamente $12,000 hasta más de $19 millones de MXN.

Las infracciones más graves — como no implementar medidas de seguridad, tratar datos con fines distintos a los declarados, o transferirlos sin consentimiento — se ubican en los rangos superiores. Las sanciones pueden acumularse si existen múltiples violaciones.

Adicionalmente, si la infracción involucra datos sensibles (salud, religión, filiación política, vida sexual) o afecta a un número significativo de personas, el INAI puede duplicar la sanción.

Penal
Código Penal Federal — Delitos informáticos

El Código Penal Federal tipifica en sus artículos 211 bis 1 al 211 bis 7 los accesos no autorizados a sistemas informáticos, la modificación, destrucción o copia no autorizada de datos. Estas disposiciones protegen a las empresas como víctimas de hackeo, pero también tienen implicaciones cuando la negligencia de la empresa facilita el delito.

En el contexto de un incidente, el Código Penal es relevante principalmente para la denuncia formal del ataque ante autoridades como la Policía Cibernética (SSC) o la FGR, lo que es un paso importante para procedimientos de seguro y para establecer la cadena de custodia de la evidencia.

Civil
Responsabilidad civil y contractual

Más allá de las sanciones regulatorias, una brecha de datos puede activar responsabilidad civil frente a clientes, proveedores o empleados cuyos datos fueron comprometidos. Si un cliente demuestra que sufrió daños económicos o morales a causa de la filtración de sus datos desde tus sistemas, puede demandar reparación del daño.

En contratos B2B, especialmente en sectores financiero, salud o tecnología, suele existir una cláusula de cumplimiento de estándares de seguridad (SOC 2, ISO 27001, PCI-DSS). No cumplir con estos estándares al momento de una brecha puede constituir incumplimiento contractual, independientemente de las sanciones regulatorias.

Obligaciones concretas del empresario ante un incidente

Contener el incidente
Tomar medidas inmediatas para detener el acceso no autorizado y limitar el daño a los datos. Documentar las acciones tomadas.
Investigar el alcance
Determinar qué datos fueron afectados, cuántas personas y desde cuándo. Esto requiere análisis forense.
Notificar a los titulares
Informar a las personas cuyos datos fueron comprometidos cuando el incidente pueda afectar sus derechos patrimoniales o morales.
Reportar al INAI
Presentar un informe al INAI cuando la vulneración sea significativa, con los detalles del incidente y las medidas adoptadas.
Remediación y mejoras
Implementar las correcciones necesarias para evitar que el incidente se repita. El INAI puede solicitar evidencia de estas mejoras.
Denuncia penal
Presentar denuncia formal del delito ante la Policía Cibernética o FGR, indispensable para reclamar seguros y procesos civiles.

Cómo documentar un incidente de seguridad correctamente

La documentación adecuada es fundamental tanto para la respuesta técnica como para cumplir con las obligaciones legales y eventuales reclamaciones de seguros. Un incidente mal documentado dificulta la investigación forense, debilita tu posición ante el INAI y puede invalidar una reclamación de seguro.

  1. Registro cronológico del incidente
    Documenta con timestamps exactos cada evento relevante: cuándo se detectó la anomalía, quién la detectó, qué acciones se tomaron y en qué orden. Este registro debe iniciarse desde el primer momento de detección.
  2. Preservación de evidencia digital
    No modifiques los sistemas comprometidos antes de obtener imágenes forenses. Los logs de sistema, de red y de aplicaciones son evidencia crítica. Un especialista en forense digital puede extraerlos preservando la cadena de custodia necesaria para un proceso legal.
  3. Inventario de datos afectados
    Determina con precisión qué categorías de datos fueron accedidos o exfiltrados: nombres, RFCs, datos bancarios, contraseñas, información médica. La categoría de los datos determina el nivel de obligación de notificación y la severidad de las sanciones potenciales.
  4. Comunicación interna documentada
    Guarda registro de todas las comunicaciones internas sobre el incidente: correos, mensajes, decisiones tomadas por la dirección. En un proceso legal, la dirección demostrará que actuó diligentemente si existe un rastro documental de las decisiones tomadas.
  5. Comunicación con terceros afectados
    Si notificas a clientes o proveedores, hazlo por escrito y conserva copia. La notificación debe incluir qué datos fueron afectados, qué medidas tomaste y cómo pueden protegerse. Evita comunicaciones verbales sin respaldo escrito.
  6. Informe forense de tercero independiente
    Siempre que sea posible, contrata a un tercero independiente para el análisis forense. Un informe técnico de un perito externo tiene mayor peso ante el INAI, aseguradoras y tribunales que uno producido internamente.

Importante: Si tu empresa tiene seguro de ciberseguridad (cyber insurance), notifica a la aseguradora inmediatamente después de confirmar el incidente. Las pólizas generalmente tienen plazos estrictos de notificación y exigen que no modifiques los sistemas comprometidos antes de su intervención.

Recomendaciones para protegerte legalmente antes de que ocurra un incidente

La mejor estrategia legal es preventiva. Antes de que ocurra un incidente, tu empresa debería tener:

Esta documentación no previene el ataque, pero sí puede marcar la diferencia entre una empresa que demuestra diligencia ante el INAI y una que recibe la multa máxima por incumplimiento. Un pentest también sirve como evidencia de que evaluaste activamente tu postura de seguridad.

Preguntas frecuentes

¿En cuánto tiempo debo notificar al INAI si sufrí una brecha de datos?
La ley no establece un plazo específico en días, pero habla de hacerlo "a la brevedad posible" una vez confirmada la vulneración. Los lineamientos del INAI y las mejores prácticas internacionales sugieren que la notificación a los titulares afectados no debe exceder los 72 horas desde la confirmación del incidente cuando el riesgo para los derechos y libertades es alto. Para el reporte formal al INAI, el plazo es también el más breve posible según la magnitud del incidente.
¿Qué pasa si el hackeo fue causado por un empleado y no por un atacante externo?
Las obligaciones bajo la LFPDPPP aplican independientemente del origen del incidente. Si un empleado causó o facilitó la brecha, la empresa sigue siendo responsable ante los titulares de datos afectados. Adicionalmente, el empleado puede enfrentar consecuencias laborales y penales según el artículo 211 bis 1 del Código Penal, que tipifica el acceso no autorizado a sistemas incluso por personas con cierto nivel de acceso.
¿Necesito un abogado especializado en ciberseguridad para responder a un incidente?
En incidentes que involucren datos personales de clientes o empleados, sí es recomendable. Un abogado especializado puede asesorarte sobre el contenido exacto de las notificaciones, gestionar la comunicación con el INAI y proteger la posición de la empresa en eventuales demandas civiles. El costo de un asesor legal en la respuesta al incidente suele ser significativamente menor que el costo de una multa del INAI o de un litigio posterior.
¿Un pentest me protege legalmente en caso de incidente?
No directamente, pero sí puede usarse como evidencia de que la empresa ejerció la diligencia debida en la identificación y corrección de vulnerabilidades. Un reporte de pentest con fecha anterior al incidente, que muestra que la empresa evaluó activamente su seguridad y atendió las recomendaciones, es un argumento favorable ante el INAI y en procedimientos civiles. Es una de las pocas formas documentables de demostrar que tomaste la seguridad en serio antes del incidente.

¿Quieres saber si tu empresa está expuesta antes de que ocurra un incidente?

Hacemos un diagnóstico inicial gratuito para identificar vulnerabilidades y ayudarte a cumplir con tus obligaciones de seguridad bajo la ley mexicana. Sin tecnicismos, con recomendaciones accionables.

Solicitar diagnóstico gratuito →