Guía práctica contra las ciberamenazas

Guía práctica contra las ciberamenazas

Guía práctica contra las ciberamenazas

¿Para quién es esta guía?

Pensado para todas las personas de la empresa, independientemente de su puesto o nivel de experiencia tecnológica. Si utilizan una computadora, celular o correo electrónico en tu trabajo, este programa es para ti. No se requieren conocimientos técnicos previos. 

Panorama actual: México en la mira digital

La ciberseguridad se ha convertido en una prioridad estratégica para las organizaciones. En un entorno cada vez más digital, conocer las principales amenazas es el primer paso para fortalecer la resiliencia, proteger la información y reducir riesgos en todos los niveles de la empresa. 

35,200 +

ciberataques solo en Q1 2025

83%

empresas priorizan ciberseguridad

#2

México en LATAM con mayor cibercrimen

$10.5 B

costo mundial del cibercrimen en 2025 (USD)

Algunos datos clave de 2025:

  • El ransomware creció un 38% respecto al año anterior en México.
  • El 76% de las empresas AMCHAM destina presupuesto específico para ciberseguridad.
  • Se registra un ataque cibernético en el mundo cada 39 segundos.
  • El 67.5% de las organizaciones en México identifica la ciberseguridad como su principal riesgo.
  • Los sectores más afectados son: financiero, manufactura, gobierno y telecomunicaciones.
  • La inteligencia artificial (IA) ya es utilizada por ciberdelincuentes para hacer ataques más convincentes y automatizados.

AMCHAM y la ciberseguridad en México

Desde el Comité de Innovación y TICs, AMCHAM impulsa una visión integral de la ciberseguridad como un habilitador de la competitividad, la resiliencia y la confianza digital. Esta visión promueve una mayor coordinación institucional y una colaboración estrecha entre gobierno, industria y sociedad para fortalecer el ecosistema digital del país. 

Las ciberamenazas explicadas sin tecnicismos

A continuación encontrarás los tipos de ataques cibernéticos más comunes, explicados de manera sencilla y acompañados de ejemplos prácticos. Conocer cómo operan es el primer paso para prevenirlos. 

1. Phishing — El anzuelo digital

¿Qué es? El phishing, o suplantación de identidad, es una técnica utilizada por ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, datos bancarios o información corporativa. Para lograrlo, el atacante se hace pasar por una persona, institución o empresa de confianza (por ejemplo, tu banco, el SAT, tu jefe, un proveedor o una plataforma conocida) y te contacta por correo electrónico, mensajes de texto, aplicaciones de mensajería o llamadas telefónicas. Su objetivo es que compartas información sensible, descargues un archivo o hagas clic en un enlace malicioso. 

Ejemplo: Recibes un correo, aparentemente enviado por tu banco, en el que te informan de que tu cuenta ha sido bloqueada y que debes verificar tus datos de inmediato. El mensaje te pide que accedas a un enlace para actualizar tus datos. Aunque la página parece legítima, en realidad es un sitio falso creado para robar tus contraseñas y datos bancarios. 

Variantes:

  • Spear Phishing: dirigido a una persona específica, utilizando información personal (nombre, cargo, empresa) para parecer más real.
  • Whaling: se dirige a ejecutivos de alto nivel (directores, gerentes). El mensaje parece urgente y muy personalizado.
  • Smishing: se realiza mediante SMS o aplicaciones de mensajería en lugar del correo electrónico.
  • Vishing: se realiza por teléfono. El atacante puede suplantar la voz de un colega gracias a la IA.
  • BEC (Business Email Compromise): el delincuente se hace pasar por un proveedor o un directivo para solicitar transferencias de dinero o de datos confidenciales.

 Señales de alerta:

  1. Urgencia inusual: mensajes que buscan generar presión o miedo, por ejemplo: “Tu cuenta será suspendida en 24 horas” o “Debes actuar de inmediato”. 
  1. Remitente sospechoso: el nombre parece legítimo, pero la dirección de correo electrónico o el número de contacto no corresponde a la organización. 
  2. Solicitud de información sensible: peticiones de contraseñas, códigos de verificación, datos bancarios, CURP, NSS u otra información confidencial. 
  3. Enlaces sospechosos: al colocar el cursor sobre el enlace (sin hacer clic), la dirección web no coincide con la del sitio oficial de la organización. 
  4. Archivos adjuntos inesperados: documentos o archivos que no solicitaste, especialmente si te invitan a descargarlos o a habilitar contenido adicional. 
  5. Solicitudes inusuales: transferencias urgentes, cambios de cuentas bancarias, acceso remoto a dispositivos o acciones ajenas a los procedimientos habituales. 

2. Ransomware — El secuestro digital

¿Qué es? El ransomware es un software malicioso que bloquea el acceso a tus archivos o sistemas. Los atacantes exigen un pago para liberarlos, aunque recuperar la información nunca está garantizado. Debido a su impacto operativo, financiero y reputacional, el ransomware es una de las amenazas cibernéticas más disruptivas y costosas para las organizaciones. 

Ejemplo: Al iniciar su jornada, los empleados descubren que no pueden acceder a documentos, sistemas ni bases de datos. En las pantallas aparece un mensaje que indica que la información ha sido cifrada y exige un pago para recuperar el acceso.  

¿Sabías qué? En 2025, la manufactura (15%), el comercio minorista (12%) y las telecomunicaciones (10%) concentraron una parte importante de los ataques de ransomware. Durante ese mismo periodo, el número de víctimas aumentó cerca de 70% respecto al año anterior, reflejando el crecimiento de esta amenaza a nivel global.  

3.  Malware — software malicioso

¿Qué es? El malware es cualquier programa diseñado para dañar, espiar o comprometer un dispositivo. Puede instalarse sin que lo notes y utilizarse para robar información, monitorear tu actividad o afectar el funcionamiento de tus equipos y sistemas. 

Ejemplo: Descargas un archivo adjunto o documento enviado por un remitente desconocido. Sin darte cuenta, se instala un programa malicioso que comienza a recopilar datos de tu dispositivo, incluidos contraseñas, datos personales o información financiera.   

4. Ingeniería social — Hackear personas

¿Qué es? La ingeniería social consiste en engañar a las personas para que compartan información, otorguen accesos o realicen acciones que normalmente no harían. Los atacantes suelen aprovechar la confianza, la urgencia o el temor para manipular a sus víctimas. 

Ejemplo: Recibes una llamada de alguien que dice que pertenece al área de soporte técnico de una empresa o de un proveedor de servicios. La persona te informa de un supuesto problema urgente en tu equipo y te solicita instalar un programa o concederle acceso remoto para solucionarlo. Una vez obtenido el acceso, puede robar información, instalar software malicioso o comprometer otros sistemas.  

5. DDoS — El colapso del servicio

¿Qué es? Un ataque DDoS (Denegación Distribuida de Servicio) busca sobrecargar un sitio web, aplicación o sistema con un volumen masivo de tráfico falso hasta volverlo lento, inestable o completamente inaccesible para los usuarios legítimos. 

Ejemplo: Durante una temporada de alta demanda, el sitio web de una cadena de tiendas recibe un volumen extraordinario de solicitudes maliciosas que impide procesar pedidos y atender a los clientes. Como resultado, el servicio se interrumpe durante varias horas, lo que genera pérdidas económicas y afecta la reputación de la empresa.  

7. Amenazas impulsadas por IA — La nueva frontera

La inteligencia artificial está transformando la forma en que operan los ciberdelincuentes, permitiéndoles crear ataques más convincentes, personalizados y difíciles de detectar.

  • Deepfakes de voz y video: permiten imitar la voz o la imagen de una persona para solicitar transferencias, acceder a información confidencial o a sistemas.
  • Phishing hiperpersonalizado: mensajes elaborados con información específica sobre la víctima, redactados de forma natural y con menos señales evidentes de fraude.
  • Malware adaptable: programas maliciosos capaces de modificar su comportamiento o apariencia para evadir las herramientas de detección.
  • Automatización de ataques: La IA permite escalar campañas maliciosas y dirigir múltiples ataques simultáneamente con mayor rapidez y precisión.

Cómo protegerse: acciones concretas

Recomendaciones para la organización

Acción recomendada Por qué importa
Activar autenticación de dos factores (2FA) en todas las cuentas Aunque roben tu contraseña, sin el segundo código no podrán entrar.
Usar contraseñas largas y únicas por servicio (mínimo 12 caracteres) Las contraseñas cortas o repetidas son las primeras que prueban los atacantes.
Actualizar sistemas y aplicaciones regularmente Las actualizaciones corrigen vulnerabilidades que los atacantes explotan.
Capacitar al personal en identificación de phishing El factor humano es el punto de entrada en el 90% de los incidentes.
Hacer copias de seguridad (backup) diarias en ubicación separada Ante un ransomware, el backup es la diferencia entre días de caída y minutos.
Usar VPN al conectarse desde redes públicas o remotas Las redes públicas (cafés, aeropuertos) pueden ser interceptadas fácilmente.
Establecer un plan de respuesta ante incidentes Tener el protocolo listo reduce el impacto ante un ataque.
Limitar accesos: cada persona solo ve lo que necesita para su trabajo Si un empleado es comprometido, el daño queda contenido a su área.

Recomendaciones para el día a día

Ante cualquier correo, mensaje, llamada o solicitud inesperada, recuerda estas cuatro acciones: 

  1.  PAUSA. No actúes de inmediato, incluso si el mensaje parece urgente o solicita una respuesta rápida. 
  2. VERIFICA. Confirma la autenticidad de la solicitud a través de un canal independiente, utilizando un número telefónico o un contacto que ya conozcas. 
  3. DESCONFÍA. Mantente alerta ante solicitudes de contraseñas, datos personales, transferencias de dinero, códigos de verificación o acceso remoto a dispositivos. 
  4. REPORTA. Si identificas algo inusual o sospechoso, notifícalo de inmediato al área de TI o al responsable de seguridad de tu organización. 

 

Recomendaciones para directivos y tomadores de decisión

La ciberseguridad ya no es únicamente una responsabilidad del área de tecnología; es un componente esencial de la continuidad operativa, la gestión de riesgos y la resiliencia empresarial. Las organizaciones que incorporan la ciberseguridad como una prioridad estratégica suelen estar mejor preparadas para prevenir incidentes, responder oportunamente y minimizar su impacto. 

Algunas acciones clave incluyen:

  • Designar un responsable de ciberseguridad (CISO o equivalente) con acceso directo a la alta dirección.
  • Incorporar la ciberseguridad a la agenda de los consejos de administración y de los comités ejecutivos.
  • Asignar recursos específicos para fortalecer las capacidades de prevención, detección y respuesta.
  • Evaluar mecanismos de transferencia de riesgo, como seguros especializados en ciberseguridad.
  • Extender los estándares de seguridad a los proveedores y terceros con acceso a información o sistemas críticos.
  • Adoptar enfoques de seguridad modernos, como el modelo Zero Trust, basado en la verificación continua de usuarios, dispositivos y accesos.

Marco legal y regulatorio en México

La transformación digital conlleva nuevas responsabilidades. Operar en entornos digitales requiere proteger adecuadamente la información, gestionar los riesgos de seguridad y cumplir con las obligaciones legales aplicables en materia de privacidad y protección de datos. Más allá del cumplimiento normativo, fortalecer las prácticas de seguridad contribuye a generar confianza entre clientes, colaboradores y socios de negocio, y a reducir la exposición a riesgos operativos, financieros y reputacionales.

Marco / Normativa Qué implica para tu empresa
LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares) Toda empresa que maneje datos personales debe contar con un aviso de privacidad, medidas de seguridad y procedimientos de respuesta ante brechas.
Plan Nacional de Ciberseguridad 2025–2030 Establece lineamientos para los sectores público y privado. Impulsa la autenticación multifactor y los modelos Zero Trust en las infraestructuras críticas.
Regulaciones sectoriales (CNBV, IMSSS, IMPI) Los sectores financiero, de salud y de propiedad intelectual tienen requisitos adicionales de ciberseguridad. Consulta con tu abogado especializado.

 

Sectores con mayor exposición al riesgo cibernético en México 

Todos los sectores son vulnerables, pero algunos concentran mayor atención de los ciberdelincuentes por el valor de sus datos o la criticidad de sus operaciones:

 

39%

Ransomware — amenaza #1

27%

Phishing — amenaza #2

15%

Manufactura más afectada

12%

Retail y alimentos en riesgo

 

Sectores prioritarios y sus vulnerabilidades típicas

Sector Vulnerabilidades típicas Consecuencia de un ataque
Financiero y Banca Sistemas legados, accesos remotos, APIs de terceros Fraude, robo de fondos, pérdida de confianza de clientes
Manufactura e Industria Equipos industriales conectados (IoT/OT), sin parches Paralización de producción, sabotaje de líneas
Gobierno y Sector Público Infraestructura crítica, datos ciudadanos masivos Filtración de datos personales de millones de ciudadanos
Salud y Hospitales Dispositivos médicos conectados, historial de pacientes Chantaje con datos clínicos, riesgo a la vida de pacientes
Comercio y Retail Plataformas e-commerce, datos de tarjetas de crédito Robo de datos de pago, fraude masivo a clientes
PyMEs (todas las industrias) Falta de estrategia, contraseñas débiles, sin capacitación Pérdida total de información, cierre del negocio

 

Lista de verificación: fortalece la ciberseguridad de tu organización 

Utiliza esta lista para identificar fortalezas y áreas de oportunidad en materia de ciberseguridad. Cada elemento contribuye a construir una organización más segura, resiliente y preparada para enfrentar riesgos digitales. 

NIVEL BÁSICO — Fundamentos esenciales de ciberseguridad 

 

  •       [ ] Antivirus/antimalware actualizado en todos los equipos
  •       [ ] Contraseñas robustas (mínimo 12 caracteres, sin datos personales)
  •       [ ] Autenticación de dos factores en correo y sistemas críticos
  •       [ ] Actualizaciones automáticas de sistema operativo y aplicaciones
  •       [ ] Backup diario automatizado y probado
  •       [ ] Empleados saben cómo reportar un incidente de seguridad

 

NIVEL INTERMEDIO —Protección de información y operaciones crítica 

 

  •       [ ] Política formal de contraseñas y gestión de accesos
  •       [ ] Capacitación de phishing al menos una vez al año
  •       [ ] Segmentación de red (administración separada de operaciones)
  •       [ ] Gestión de acceso privilegiado (solo administradores tienen permisos elevados)
  •       [ ] Plan de respuesta ante incidentes documentado y comunicado
  •       [ ] Revisión de seguridad de proveedores con acceso a sistemas

 

NIVEL AVANZADO — Resiliencia y gestión estratégica de ciberseguridad 

 

  •       [ ] CISO o responsable de seguridad con reporte a dirección
  •       [ ] Modelo Zero Trust implementado
  •       [ ] Monitoreo continuo y detección de amenazas en tiempo real (SOC/SIEM)
  •       [ ] Pruebas de penetración (pentesting) anuales
  •       [ ] Seguro de ciberriesgo contratado
  •       [ ] Programa de formación continua con simulacros de phishing
  •       [ ] Cumplimiento de LFPDPPP y regulaciones sectoriales auditado

Conceptos clave para la ciberseguridad

La ciberseguridad tiene su propio lenguaje. Conocer estos conceptos te ayudará a comprender mejor los riesgos, a participar en conversaciones informadas y a tomar decisiones más seguras en el entorno digital. 

Término Significado en términos simples
Ransomware Software que ‘secuestra’ tus archivos y exige un rescate para devolverlos.
Phishing Correos electrónicos/mensajes falsos que te engañan para robar tus datos.
Malware Cualquier software diseñado para dañar o espiar tu dispositivo.
Firewall Un ‘portero digital’ que controla lo que entra y sale de tu red.
VPN El túnel seguro protege tu conexión a internet, especialmente en redes públicas.
2FA / MFA Segundo paso de verificación (código por SMS, app), además de la contraseña.
Ingeniería Social Manipular a las personas para que compartan información confidencial.
Zero Trust Modelo de seguridad en el que nadie tiene acceso automático, aunque ya esté dentro de la red.
DDoS Ataque que colapsa un sitio web bombardeándolo con tráfico falso.
CISO Chief Information Security Officer. El responsable de la ciberseguridad en una empresa.
Backup Copia de seguridad de tus datos en una ubicación diferente.
Deepfake Video o audio falso generado con IA que imita a una persona real.
Brecha de datos Cuando la información confidencial es accedida a o robada por personas no autorizadas.
Parche de seguridad Actualización de software que corrige una vulnerabilidad conocida.
IoT / OT Dispositivos conectados a internet como cámaras, sensores, maquinaria industrial.

AMERICAN CHAMBER/MEXICO | CAPITULO GUADALAJARA
Guadalajara | 17 | junio | 2026

La evolución tecnológica y estratégica del sector financiero: Inteligencia artificial, alianzas y el futuro de la banca

La evolución tecnológica y estratégica del sector financiero: Inteligencia artificial, alianzas y el futuro de la banca

En un entorno marcado por la disrupción tecnológica y la necesidad de construir organizaciones más ágiles, el Comité de Innovación y Transformación Digital de AMCHAM Capítulo Noreste abrió una conversación sobre el futuro del sector financiero. Participaron líderes de instituciones como Hey Banco y Banca Afirme, quienes compartieron una visión muy clara de cómo hoy conviven la banca tradicional, las capacidades digitales y las nuevas expectativas de los clientes. 

La banca ya no compite solo por ofrecer una app funcional o por hacer más ágiles las transacciones. La verdadera carrera está en digitalizar toda la experiencia del cliente: desde la apertura de una cuenta hasta la forma en que ahorra, invierte, paga o recibe atención. En ese camino se observan dos estrategias principales. Por un lado, la creación de bancos digitales con identidad propia, estructuras más ligeras y una lógica de riesgo distinta, como Hey Banco. Por otro lado, modelos de colaboración en los que instituciones consolidadas, como Afirme, impulsan el crecimiento de nuevas fintech mediante alianzas estratégicas.  

También apareció un concepto tan provocador como real: el “poliamor financiero”. Hoy, muchos usuarios tienen varias cuentas al mismo tiempo y mueven su dinero según donde encuentren mejores beneficios, ya sea rendimiento, cashback o promociones. Pero esa dinámica tiene límites. Competir solo ofreciendo tasas altas o incentivos temporales resulta difícil de sostener. La lealtad del cliente no se compra: se construye con confianza, utilidad diaria y una experiencia que realmente resuelva necesidades.  

La inteligencia artificial añadió otra capa de transformación. Más allá de los chatbots o los sistemas antifraude, lo que viene son agentes inteligentes (AI agents) capaces de ejecutar tareas completas: comparar productos, concretar compras, tokenizar tarjetas y operar en plataformas conversacionales. En otras palabras, una banca mucho más integrada en la vida digital de las personas. 

Mientras gran parte de la atención pública se concentra en la banca de consumo, uno de los espacios con mayor potencial está en los pagos entre empresas. La digitalización de procesos B2B y la conexión directa con sistemas ERP pueden reducir fricciones, mejorar la liquidez y hacer las operaciones mucho más eficientes. Ahí hay una oportunidad enorme todavía poco explorada. 

También quedó claro que la regulación necesita ponerse al día. La Ley Fintech abrió camino, pero el mercado se movió más rápido que la normativa. Eso ha llevado a varias plataformas a buscar licencias bancarias tradicionales para escalar, ofrecer más productos y alcanzar la rentabilidad. 

La conclusión de fondo es sencilla: innovar ya no puede ser tarea exclusiva del área de tecnología. Hoy la innovación tiene que vivir en toda la organización, desde la dirección general hasta el servicio al cliente. Las instituciones que entiendan esto, aprendan rápido y se adapten mejor no solo resistirán el cambio: serán las que definan la siguiente etapa del sistema financiero.

 

AMERICAN CHAMBER/MEXICO
Monterrey, Nuevo León | (29 | 04 | 2026)

Panorama actual de ciberseguridad para el sector empresarial

Panorama actual de ciberseguridad para el sector empresarial

Hoy, el mayor riesgo para muchas empresas no está en el mercado, sino en sus propios sistemas. En este contexto, el Comité de Seguridad e Innovación de AMCHAM Capítulo Noreste, junto con Digital HUB, convocó a Gustavo Meza, de DeAcero; Luis Miguel Dena, de Cyberblack; y Marianela Santos, de Kalpa Ventures, para discutir cómo la ciberseguridad se ha convertido en un factor determinante para la continuidad operativa y la competitividad.

La premisa que atravesó la conversación es clara: la ciberseguridad ya no es un tema técnico; es una decisión de negocio. En un entorno donde las operaciones, la información y la toma de decisiones dependen de sistemas interconectados, el riesgo cibernético se ha convertido en un factor capaz de detener o redefinir la capacidad de una empresa para operar. 

El cambio no es incremental; es estructural. Las amenazas han evolucionado de incidentes aislados a ecosistemas sofisticados, donde actores especializados operan con lógica empresarial, escalan capacidades y aprovechan la creciente superficie de exposición que generan la digitalización, la automatización y la interconectividad. En este contexto, la pregunta ya no es si una empresa será atacada, sino qué tan preparada está para absorber el impacto y seguir operando. La migración a la nube ilustra bien esta evolución. Si bien ha habilitado la escalabilidad y la eficiencia, también ha desplazado el riesgo a nuevas capas: identidades, configuraciones, gobernanza de datos y visibilidad de los activos críticos. Aquí, la diferencia no está en adoptar tecnología, sino en cómo se diseña la seguridad desde el origen. La transformación digital sin una arquitectura de seguridad es, en la práctica, una ampliación de la exposición.

Un punto crítico es la creciente convergencia entre tecnologías de la información (IT) y tecnologías operativas (OT). En sectores industriales, esta integración ha permitido eficiencia y control, pero también ha eliminado barreras que antes contenían el riesgo. Hoy, un incidente cibernético puede escalar rápidamente de un sistema digital a la operación física, afectando producción, seguridad y cadenas de suministro. La ciberseguridad en estos entornos deja de ser protección de datos y se convierte en protección de la operación misma.

En paralelo, el cibercrimen ha evolucionado hacia un modelo económico altamente organizado. Hoy existen mercados donde accesos, herramientas y servicios se compran y venden bajo esquemas de especialización. Esto ha reducido las barreras de entrada y ha hecho que el riesgo sea más accesible, más frecuente y más difícil de anticipar. Entender esta lógica no es opcional: las empresas ya no enfrentan individuos, enfrentan ecosistemas.

La irrupción de la inteligencia artificial agrega otra capa de complejidad. Por un lado, habilita capacidades sin precedentes para análisis, automatización y toma de decisiones. Por otro, introduce riesgos asociados al uso no controlado, la fuga de información y la dependencia de herramientas que muchas veces no están bajo gobernanza corporativa. Al mismo tiempo, los actores maliciosos ya están utilizando IA para escalar ataques, perfeccionar la ingeniería social y operar con mayor precisión. La IA no solo amplifica capacidades internas; también eleva el nivel del adversario. 

Frente a este panorama, la ciberseguridad deja de ser una función aislada y se posiciona como una capacidad transversal. Su efectividad depende menos de la tecnología en sí y más de la integración con la estrategia, la claridad en la toma de decisiones, la calidad del talento y el involucramiento de la alta dirección. Las organizaciones que delegan este tema exclusivamente al área de TI están, en la práctica, subestimando su impacto.

El punto de fondo es este: la ciberseguridad es, hoy, un componente de la competitividad. No se trata únicamente de evitar incidentes, sino de construir organizaciones capaces de operar con certidumbre en entornos inciertos. Aquellas que logren anticipar riesgos, responder con agilidad y mantener la continuidad bajo presión no solo reducirán su exposición, sino que también estarán mejor posicionadas para crecer. La conversación, en última instancia, deja abierta una pregunta que las empresas no pueden postergar: ¿estamos gestionando la ciberseguridad como un costo o como una capacidad estratégica?

AMERICAN CHAMBER/MEXICO
Monterrey | 9 | Abril | 2026

Futuro del Comercio Internacional y el Fortalecimiento Regional de Norteamérica

Futuro del Comercio Internacional y el Fortalecimiento Regional de Norteamérica

El Comité de Innovación y TICs celebró un encuentro con Antonio Nava, Director General de Comercio Internacional de Servicios e Inversión de la Secretaría de Economía, en el que se analizó el entorno comercial global y las perspectivas en torno a la revisión del Tratado entre México, Estados Unidos y Canadá (T-MEC) prevista para 2026.

En este contexto, resulta central comprender el alcance jurídico del proceso de 2026 y su naturaleza institucional. El mecanismo contemplado en el Tratado corresponde a una revisión y no a una renegociación integral, lo cual es una distinción clave para dimensionar correctamente el proceso de 2026. Conforme al diseño jurídico del T-MEC, al sexto año de su entrada en vigor, las Partes deberán manifestar si desean extenderlo. A partir de ello, se configuran tres posibles escenarios:

1. Extensión consensuada: si las tres Partes acuerdan extender el Tratado, este se renueva por un periodo adicional de 16 años.

2. Revisión anual sin acuerdo inmediato: si no existe consenso en el sexto año, se inicia un periodo de revisiones anuales de hasta diez años, durante el cual el Tratado permanece plenamente vigente. Si en cualquiera de esas revisiones se alcanza un acuerdo, se activa la extensión por 16 años adicionales.

3. Terminación por falta de consenso: si, transcurrido el periodo máximo de revisiones, no se alcanza un acuerdo para extenderlo, el Tratado concluye al término de ese plazo.

De manera independiente a este mecanismo, el Tratado contempla la posibilidad de denuncia unilateral mediante notificación escrita a las otras Partes. En ese supuesto, el retiro surtiría efectos seis meses después de la notificación, salvo que las Partes acuerden un plazo distinto, conforme a lo previsto en el propio instrumento.

Si bien la revisión está prevista en el propio texto del Tratado, el contexto político y comercial en Estados Unidos ejerce presiones adicionales. En particular, la discusión sobre el déficit comercial estadounidense ha impulsado una política más activa en materia arancelaria y un mayor uso de instrumentos vinculados a la seguridad nacional. En este sentido, se explicó el alcance de la International Emergency Economic Powers Act (IEEPA) y la resolución de sus limitaciones, así como el papel del Comité sobre Inversión Extranjera en Estados Unidos (CFIUS) en la revisión de inversiones en sectores estratégicos.

Uno de los ejes centrales de la conversación fue la creciente interrelación entre la política comercial, la seguridad económica y la tecnología. Se destacó que el comercio contemporáneo ya no se limita al intercambio de bienes, sino que incorpora servicios digitales, software e infraestructura tecnológica integrada en los productos manufacturados. En este contexto, sectores como el automotriz, la manufactura avanzada y la economía digital operan bajo cadenas de valor profundamente integradas en Norteamérica. La correcta aplicación de las reglas de origen y el cumplimiento de las disciplinas del Tratado continúan siendo elementos determinantes para preservar el acceso preferencial al mercado regional y la estabilidad de dichas cadenas.

En materia legislativa estadounidense, el funcionamiento de la Trade Promotion Authority (TPA) y su relevancia para eventuales modificaciones al Tratado. Únicamente aquellas disposiciones que impliquen cambios en la legislación interna de Estados Unidos requerirán la aprobación del Congreso, lo que introduce un componente adicional de análisis sobre el alcance potencial de cualquier ajuste. Asimismo, se identificó el calendario político como un factor que podría incidir en el proceso, tanto en términos de plazos como de viabilidad legislativa.

Desde la perspectiva mexicana, se reiteró la importancia estratégica del T-MEC como pilar del comercio exterior del país, en particular a la luz del dinamismo de las exportaciones a Estados Unidos. Incluso en escenarios de incertidumbre política, las cadenas de valor han mostrado resiliencia y capacidad de adaptación, lo que refleja el grado de integración estructural alcanzado en la región. Paralelamente, se subrayó la necesidad de fortalecer una agenda de diversificación comercial, dado que el mayor déficit comercial de México se concentra actualmente en su intercambio con China.

También se abordaron la modernización del Acuerdo Global México-Unión Europea y la creación de un Acuerdo Comercial Interino con la Unión Europea. La negociación de la modernización ya ha concluido y se prevé su suscripción en el corto plazo. Asimismo, el Acuerdo Comercial Interino permitirá anticipar la aplicación de los compromisos estrictamente comerciales, sin esperar la ratificación integral del acuerdo modernizado por todos los parlamentos involucrados.

La modernización incorpora 17 disciplinas actualizadas, así como una revisión sustantiva en materias como la propiedad intelectual, las medidas sanitarias y fitosanitarias, la regionalización y la equivalencia, entre otros aspectos de nueva generación. La coexistencia del acuerdo original, el instrumento modernizado y el acuerdo interino no implica una sustitución inmediata, sino una arquitectura jurídica diseñada para fortalecer el marco normativo del comercio bilateral y brindar mayor certidumbre a los operadores económicos durante el proceso de transición.

En conjunto, la sesión permitió contar con un panorama integral de los escenarios jurídicos, políticos y estratégicos que enmarcarán la revisión de 2026. Desde AMCHAM reiteramos la importancia de mantener un diálogo técnico y constructivo con las autoridades, orientado a preservar la integración regional de Norteamérica, fortalecer la competitividad de México y promover un comercio internacional basado en reglas claras y previsibles, condición indispensable para la inversión, la planeación empresarial y el crecimiento sostenido.

AMERICAN CHAMBER/MEXICO
Ciudad de México | 24 | febrero | 2026

Del Potencial a la Acción: Construyendo el Futuro Tecnológico de México

Del Potencial a la Acción: Construyendo el Futuro Tecnológico de México

El Comité de Innovación y TICs, llevó a cabo la sesión “Del potencial a la acción: construyendo el futuro tecnológico de México, con el objetivo de analizar el estado de la preparación tecnológica del país y los principales retos para escalar la innovación de manera efectiva en las organizaciones.

Preparación tecnológica y punto de inflexión

Durante la sesión se presentaron los principales hallazgos del Kyndryl Readiness Report, a cargo de Carlos Marcel, Director General de Kyndryl México. El informe se basa en encuestas realizadas a 3,700 altos directivos y responsables de la toma de decisiones en 21 países, incluyendo a 200 ejecutivos en México, y analiza los factores que influyen en la capacidad de las organizaciones para proteger, mantener y acelerar su desempeño tecnológico.

De acuerdo con el reporte, México muestra una ambición digital en crecimiento, particularmente en la adopción de inteligencia artificial y soluciones en la nube. El 88% de las organizaciones mexicanas considera que la inteligencia artificial transformará los roles de trabajo en los próximos doce meses, en línea con el promedio global, y registra niveles de inversión en IA y nube comparables con las tendencias internacionales.

No obstante, el estudio identifica retos estructurales relevantes. El 63% de las organizaciones en México señala que sus iniciativas de innovación se detienen después de la fase de prueba de concepto, mientras que el 62% reporta retrasos en innovación derivados de su base tecnológica, asociados a infraestructuras legadas y entornos híbridos complejos.

En materia de resiliencia digital, el reporte indica que el 88% de las organizaciones en México ha enfrentado interrupciones vinculadas con incidentes cibernéticos, mientras que solo el 42% prioriza el fortalecimiento de la ciberseguridad como una acción estratégica inmediata. Asimismo, el 79% expresa preocupación por los riesgos asociados al uso de nubes globales, en un contexto donde factores regulatorios, geopolíticos y de soberanía de datos influyen de manera creciente en las decisiones tecnológicas. Adicionalmente, el 61% de los líderes en México reporta una mayor presión por demostrar el retorno de inversión de las iniciativas de inteligencia artificial.

Panel | Del piloto al impacto: escalar la tecnología

Durante el panel “Del piloto al impacto: cómo escalar la tecnología en México”, moderado por Katia Núñez, Líder de Relaciones Gubernamentales y Política Pública para Latinoamérica en Kyndryl, con la participación de Diego Flores, Titular del Sector de Industria Electrónica y Digital de la Secretaría de Economía; Francisco Martha, Director General de Desarrollo de Negocios Digitales en Banorte; Silvia Díaz, Directora de Inteligencia Artificial en Oracle; y Daniel Ríos, Vicepresidente de Infraestructura y Telecomunicaciones del Comité de Innovación y TICs en AMCHAM, se abordaron los factores que inciden en la brecha entre experimentación tecnológica y generación de valor a escala.

Durante el diálogo, se destacó la importancia de contar con arquitecturas tecnológicas preparadas para crecer, integrar la seguridad desde el diseño, fortalecer la alineación entre negocio y tecnología, y establecer métricas claras que permitan evaluar el retorno de inversión desde las primeras etapas de los proyectos.

Asimismo, se subrayó el papel del talento y de las capacidades humanas como un componente central de la transformación digital,  así como la relevancia de marcos de gobernanza flexibles que permitan a las organizaciones adaptarse al ritmo acelerado de la innovación tecnológica.

La sesión concluyó con un llamado a avanzar de la ambición digital a la ejecución estratégica, priorizando decisiones que fortalezcan la resiliencia tecnológica, la escalabilidad de las soluciones y la alineación entre tecnología y objetivos de negocio. El diálogo reafirmó la relevancia de impulsar una agenda de colaboración entre sector privado, autoridades y expertos para fortalecer la preparación tecnológica de México en un entorno global cada vez más dinámico.

AMERICAN CHAMBER/MEXICO
Ciudad de México | 19 | enero | 2026

Ecosistema de Datos Personales en México: Visión del Titular de la Unidad Responsable

Ecosistema de Datos Personales en México: Visión del Titular de la Unidad Responsable

AMCHAM sostuvo un encuentro con representantes de la Unidad de Protección de Datos Personales (UPDP), recientemente conformada en la Secretaría de Anticorrupción y Buen Gobierno, para conocer los avances en el proceso de transición institucional tras la desaparición del INAI y los nuevos mecanismos para la protección de datos personales en México.

Los funcionarios José Vicente Peredo Vázquez, Titular de la Unidad, y Aldo Fragoso Pastrana, Director General de Normatividad y Prevención, destacaron que la transformación busca preservar la esencia del trabajo del INAI, pero con un enfoque más eficiente, coordinado y cercano a la sociedad. 

Un nuevo marco de confianza y transparencia

“Vivimos un proceso de transición derivado de una consolidación administrativa. Nuestro reto es mejorar lo que hizo el INAI y abrir un diálogo permanente con todos los sectores”, subrayó Peredo.

La Unidad de Protección de Datos Personales asume la responsabilidad de garantizar el respeto al derecho fundamental a la privacidad, tanto en el sector público como en el privado. Actualmente cuenta con 110 funcionarios, de los cuales 80% provienen del INAI, lo que permite conservar la experiencia técnica y operativa del antiguo organismo. Entre sus funciones destacan la supervisión del cumplimiento normativo, atención de denuncias, imposición de sanciones, promoción de conciliaciones, emisión de lineamientos y acompañamiento institucional a dependencias y empresas en el cumplimiento de sus obligaciones en materia de privacidad y seguridad.

Retos para las Empresas: De la norma a la cultura

Se presentaron los cinco pilares que guían el plan de trabajo de la Unidad: cercanía y lenguaje claro, actualización normativa, transparencia en sanciones, digitalización de trámites y acompañamiento institucional, con un enfoque ciudadano y tecnológico que busca fortalecer la confianza pública en el uso y resguardo de los datos personales.

En cuanto a los retos actuales, la Unidad identificó temas prioritarios como el combate a las aplicaciones de “montadeudas”, la retención indebida de expedientes clínicos, la protección de datos de menores en entornos digitales y la regulación de empresas extranjeras que procesan información personal en México sin domicilio en el país. También se anunció la intención de reforzar la cooperación internacional, manteniendo la participación de México en foros como la Red Iberoamericana de Protección de Datos y la Global Privacy Assembly (GPA).

En cuanto a la implementación del nuevo marco normativo, la adopción de avisos de privacidad globales y los mecanismos de autorregulación vinculante, la Unidad adelantó que a partir de enero de 2026 lanzará una agenda de mesas de trabajo y capacitaciones sectoriales para fortalecer la prevención y generar criterios técnicos conjuntos.

La protección de los datos personales está más fuerte que nunca. En algún momento los convocaremos, porque cada sector aporta algo para consolidar este nuevo marco de confianza y transparencia. — José Vicente Peredo Vázquez, Titular de la Unidad de Protección de Datos Personales.

AMERICAN CHAMBER/MEXICO
Ciudad de México | 10 | noviembre | 2025