Legal · Cumplimiento

LFPDPPP ciberseguridad empresas México 2025:
Cómo cumplir el Artículo 18

5 de junio, 2026  ·  8 min de lectura

Si tu empresa en México maneja datos de clientes — nombres, correos, teléfonos, historial de compras o cualquier dato de pago — entonces la LFPDPPP ciberseguridad empresas México ya aplica sobre ti, y desde el 21 de marzo de 2025 con reglas más estrictas que antes. Este artículo explica qué cambió, qué exige exactamente el Artículo 18 y cuál es la forma más directa de cumplirlo antes de que llegue una auditoría o, peor, una filtración.

Qué cambió con la nueva LFPDPPP

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y entró en vigor al día siguiente, el 21 de marzo. Esta nueva versión abroga completamente la ley de 2010 que estuvo vigente durante 15 años.

Los cambios más relevantes para una empresa no son solo de forma — son de fondo:

Dato clave: La LFPDPPP de 2025 ya está en vigor. No hay período de transición para las obligaciones del Artículo 18. Si tu empresa trata datos personales, la obligación aplica hoy.

Qué exige el Artículo 18 exactamente

El Artículo 18 es la columna técnica de la ley. Establece que el responsable del tratamiento de datos —es decir, tu empresa— debe implementar y mantener medidas de seguridad de tres tipos:

Medidas administrativas

Políticas internas de privacidad, procedimientos de acceso a datos, contratos de confidencialidad con empleados y proveedores, designación de un responsable de privacidad y registros de las actividades de tratamiento. En términos prácticos: papel y procesos.

Medidas técnicas

Controles de acceso a sistemas, cifrado de datos en tránsito y en reposo, gestión de vulnerabilidades, monitoreo de accesos no autorizados y, explícitamente, evaluación periódica de la seguridad de los sistemas. Un pentest es la forma más directa y documentable de evidenciar que esta evaluación se realiza.

Medidas físicas

Control de acceso a instalaciones donde se procesan datos, protección de servidores y equipos de almacenamiento, y destrucción segura de información al término de su vida útil.

La clave está en la palabra "documentadas". No basta con tener las medidas — debes poder demostrar ante la autoridad que existen y que funcionan. Un reporte de pentest con firma digital, metodología NIST y hallazgos CVSS es exactamente el tipo de evidencia que resiste una auditoría.

Multas reales: cuánto puede costarte incumplir

$11,400 MXN
Sanción mínima
100 UMAs. Infracciones leves sin datos sensibles involucrados.
$36.6M MXN
Sanción máxima base
320,000 UMAs. Para infracciones graves con datos personales comprometidos.
×2
Multiplicador datos sensibles
Las multas se duplican cuando se involucran datos financieros, médicos o biométricos.
5 años
Prisión posible
Para uso indebido de datos con fines de lucro. Aplica a directivos responsables.

Las sanciones no son automáticas ni instantáneas — la autoridad abre un procedimiento de investigación. Pero si en ese procedimiento no puedes demostrar que tenías medidas técnicas implementadas y documentadas al momento del incidente, la sanción máxima es el punto de partida de la negociación, no el techo.

Por qué el pentest es la evidencia técnica más directa

Muchas empresas implementan controles de seguridad — un firewall, un antivirus, SSL en el sitio — pero no pueden demostrar que esos controles funcionan. La diferencia entre tener controles y tener evidencia de que funcionan es exactamente lo que separa a una empresa que pasa una auditoría de una que no.

Un pentest profesional produce tres tipos de evidencia que la autoridad reconoce:

  1. El acuerdo de alcance firmado — demuestra que la evaluación fue intencional y autorizada, no accidental.
  2. El reporte técnico con CVSS — documenta qué vulnerabilidades existían, cuáles se encontraron y cuáles se remediaron.
  3. El reporte ejecutivo — traduce los hallazgos técnicos a riesgo de negocio, incluyendo potencial impacto sobre datos personales.

Un pentest ejecutado con metodología NIST CSF + OffSec y realizado por profesionales certificados OSCP no es solo un servicio de seguridad — es un documento legal que demuestra diligencia debida ante el Artículo 18. Es la diferencia entre "no sabíamos que había una vulnerabilidad" y "identificamos las vulnerabilidades, las documentamos y las corregimos".

El 75% de las MiPyMEs mexicanas no tiene ningún marco de ciberseguridad (Guardia Nacional / GNP Seguros, 2024). La LFPDPPP 2025 convierte esa ausencia en un riesgo legal directo, no solo operativo.

Industrias de mayor riesgo

Aunque la ley aplica a cualquier empresa que trate datos personales, ciertas industrias tienen una exposición particularmente alta por el volumen y la sensibilidad de los datos que manejan:

Despachos contables y legales

Manejan datos financieros, fiscales y patrimoniales de sus clientes — todos calificados como datos de alta sensibilidad. Una filtración no solo activa las multas máximas; destruye la confianza profesional en horas. Si tu despacho maneja el SAT de tus clientes, la LFPDPPP aplica con el régimen más estricto.

Clínicas y consultorios

Los datos de salud son datos sensibles por definición. Expedientes digitales, portales de pacientes, sistemas de citas en línea y cualquier formulario que incluya información médica están bajo el paraguas de las multas duplicadas.

E-commerce y retail

Cada tienda en línea que guarda historiales de compra, métodos de pago o direcciones de envío trata datos personales. El boom del e-commerce en México — un 23% de crecimiento en 2024 — también incrementó los objetivos para atacantes que buscan bases de datos con tarjetas y credenciales.

Escuelas y universidades privadas

Manejan datos de menores, que tienen protección especial, junto con información financiera de las familias. Portales de calificaciones, plataformas de pago de colegiaturas y sistemas de admisión son vectores de riesgo frecuentes.

Preguntas frecuentes

¿Qué empresas están obligadas por la LFPDPPP?
Toda persona moral del sector privado que trate datos personales en México: tiendas en línea, despachos, clínicas, restaurantes con membresías, aplicaciones y cualquier empresa que recabe nombres, correos o datos de pago de sus clientes.
¿Qué cambió con la reforma de 2025 respecto a la ley anterior?
La nueva LFPDPPP publicada el 20 de marzo de 2025 abroga la ley de 2010. La Secretaría Anticorrupción y Buen Gobierno reemplaza al INAI. Las multas suben hasta 320,000 UMAs (~$36.6M MXN), se duplican para datos sensibles y el Artículo 18 exige medidas técnicas documentadas con mayor explicitidad.
¿El pentest es suficiente para cumplir el Artículo 18?
El pentest cubre la dimensión técnica del Artículo 18. También se requieren medidas administrativas (políticas, contratos) y físicas (acceso a servidores). El reporte de pentest es la evidencia más contundente frente a una auditoría porque demuestra evaluación activa, no solo declaración de intención.
¿Cuánto tiempo tengo para cumplir con el Artículo 18?
La ley entró en vigor el 21 de marzo de 2025. No existe período de gracia para las obligaciones del Artículo 18. Si tu empresa trata datos personales, la obligación de medidas técnicas documentadas ya aplica desde esa fecha.

¿Quieres saber si cumples con el Artículo 18?

El diagnóstico gratuito te da una primera lectura de tu exposición real. Sin tecnicismos, sin compromiso. Si hay vulnerabilidades, te decimos exactamente cuáles son y cómo resolverlas antes de que llegue una auditoría.

Solicitar diagnóstico gratuito →