LFPDPPP 2025: por qué una filtración puede costarle $36 millones a tu empresa (y cómo el caso CFE lo prueba)
El INAI desapareció, las multas se dispararon a $36 millones de pesos y el caso CFE expuso 600 GB de datos por tres años. Qué cambió en la reforma LFPDPPP 2025 y cuánto le puede costar a tu PyME una filtración — con cálculos reales en UMAs.
La Comisión Federal de Electricidad pagó más de 400 millones de pesos a un proveedor mexicano de ciberseguridad. Durante tres años, ese proveedor dejó 600 GB de datos de la CFE expuestos en internet sin autenticación. Cualquiera con un navegador podía verlos. Cybernews envió 29 correos en cinco meses para avisar; la CFE no respondió.
Si un ataque aprovechara esa filtración, según el análisis publicado, "podría interrumpir el suministro eléctrico en casi todo el país". Y la CFE, bajo la nueva LFPDPPP 2025, podría enfrentar sanciones superiores a los $36 millones de pesos.
Si esto le pasa al gobierno federal con 400 millones de presupuesto, ¿qué tan protegida crees que está tu empresa?
Qué cambió: la reforma que nadie te contó (pero te afecta)
El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que entró en vigor al día siguiente, 21 de marzo de 2025. La reforma no es "un retoque"; es una reescritura completa de la ley de 2010.
Si tu empresa tiene cualquier dato personal de clientes, empleados, proveedores o prospectos —un correo en un CRM, un RFC en una factura, una foto de identificación, un número de teléfono en WhatsApp Business—, esta ley te aplica. No importa si tienes 3 empleados o 3,000.
Tres cambios que tienes que conocer sí o sí
- El INAI desapareció. Sus facultades de investigar, auditar y sancionar pasaron a la Secretaría Anticorrupción y Buen Gobierno (SABG), con un órgano operativo llamado "Transparencia para el Pueblo".
- Las multas se dispararon. Donde antes se hablaba de cifras modestas, ahora pueden llegar a $36,204,800 MXN por una sola infracción agravada —y pueden duplicarse si los datos involucrados son sensibles (salud, orientación sexual, religiosa, política, huella, biométricos).
- Se fortaleció la obligación de notificar. Si sufres una brecha de seguridad que afecte significativamente los derechos de los titulares, debes notificarlos. No hacerlo es una infracción independiente —y más cara.
Cuánto te puede costar: las cuentas reales en UMAs
La LFPDPPP calcula las multas en Unidades de Medida y Actualización (UMAs). El valor UMA 2025 es de $113.14 MXN. Así que los números legales se traducen en pesos reales que un juez te puede cobrar:
| Tipo de infracción | Rango en UMAs | Equivalente en pesos (2025) |
|---|---|---|
| Infracción simple (ej. aviso de privacidad mal redactado, no responder a solicitud ARCO en plazo) | 100 – 160,000 | $11,314 – $18,102,400 |
| Infracción agravada (ej. brecha de seguridad por no tener medidas preventivas) | 160,001 – 320,000 | $18,102,513 – $36,204,800 |
| Agravada con datos sensibles (se duplica) | Hasta 640,000 | Hasta $72,409,600 |
| Reincidencia (infracción persistente) | +50% adicional por cada día | Sin tope explícito |
Traducción práctica: si tu clínica, despacho contable, escuela o consultorio pierde una base de datos con fotos de identificación, historiales médicos o biométricos de empleados, no estás expuesto a "una llamada de atención". Estás expuesto a una multa que puede destruir tu empresa.
El caso CFE como espejo: cuatro lecciones para tu PyME
El incidente de la CFE no fue un hackeo. Fue algo peor: una exposición por negligencia. Cybernews detectó en agosto de 2025 un servidor abierto al internet con 600 GB de datos de la CFE, administrado por un proveedor mexicano de ciberseguridad. Llevaba tres años expuesto. Contenía logs internos y configuraciones de sistemas de control industrial.
Las cuatro lecciones aplican a cualquier empresa que contrate proveedores de tecnología:
1. "Lo contraté con un especialista" no te salva
La CFE pagó 400+ millones a un proveedor. Los datos se fugaron. La responsabilidad legal frente al titular de los datos sigue siendo del responsable primario —CFE en este caso, tu empresa en el tuyo—, no del proveedor. El contrato con proveedores debe incluir cláusulas de:
- Compromisos de medidas de seguridad mínimas auditables
- Obligación de notificar incidentes en ?48 horas
- Derecho de tu empresa a auditar periódicamente al proveedor
- Indemnización si el incumplimiento del proveedor te genera multa
2. El "checklist anual" no sirve si los datos viven en sistemas nadie revisa
Los 600 GB de la CFE estuvieron expuestos tres años. Nadie miró. Tu empresa tiene sistemas equivalentes: el servidor de backups, el bucket de AWS/Azure, el NAS de contabilidad, la nube de WhatsApp Business. Inventariarlos y monitorearlos es obligación legal, no buena práctica opcional.
3. Ignorar las alertas externas es un agravante
Cybernews envió 29 correos en cinco meses a la CFE. Nadie respondió. Bajo la nueva ley, "conocer el riesgo y no actuar" convierte una infracción simple en agravada (multa × 2). Si recibes un aviso de investigador, usuario o autoridad, responde y documenta. No hacerlo es autoincriminarte.
4. "A mí no me va a pasar" es el único error que siempre se cumple
La CFE tenía 400 millones de presupuesto. Tu empresa no los tiene. Eso no significa que puedas ignorar la ley —significa que necesitas gastar ese presupuesto de forma inteligente, no dispersa.
Las 6 obligaciones core que toda empresa mexicana debe cumplir hoy
Basado en la ley vigente desde marzo 2025, esto es lo mínimo no negociable. Si tu empresa no tiene alguno, ya estás en infracción —aunque nadie haya ido a molestarte todavía:
1. Aviso de privacidad actualizado y visible
No basta con copiar el de otra empresa. Debe describir específicamente qué datos recabas, para qué, con quién los compartes y cómo ejercer derechos ARCO. Debe estar en el pie de tu sitio web, en los formularios de contacto y en cada punto de recolección (contratos, formularios de empleo, etc.).
2. Medidas administrativas, técnicas y físicas documentadas
No es "tenemos antivirus". Es un documento por escrito con: política de accesos, gestión de contraseñas, MFA, control de dispositivos, cifrado, respaldos y revisiones periódicas. Si no existe por escrito, para la autoridad no existe.
3. Procedimiento de derechos ARCO
Cualquier persona puede pedirte: Acceder a sus datos, Rectificarlos, Cancelarlos, u Oponerse al tratamiento. Tienes 20 días hábiles para responder. No tener un procedimiento documentado es infracción automática.
4. Registro de incidentes y protocolo de notificación
Si sufres una brecha que afecte significativamente a titulares, debes notificarles sin demora injustificada. Registrar incidentes (incluso los que "no pasó nada") es obligatorio para probar diligencia.
5. Contratos con proveedores (encargados del tratamiento)
Cada proveedor que toque datos personales —contador externo, nómina, CRM SaaS, nube, agencia de marketing, proveedor de ciberseguridad— necesita un contrato específico de tratamiento de datos. Sin eso, la responsabilidad por su fuga es 100% tuya.
6. Tratamiento especial para datos sensibles
Si manejas datos de salud, biométricos, financieros, religiosos, sexuales o políticos, necesitas: consentimiento expreso por escrito, justificación del propósito, medidas reforzadas. Este es el rubro donde las multas se duplican automáticamente.
Autoevaluación rápida: ¿cuánto riesgo tienes hoy?
Responde sí/no. Si respondes "no" a 3 o más, tu empresa está en zona de multa agravada:
- ? ¿Tu aviso de privacidad fue revisado después de marzo 2025?
- ? ¿Tienes documento escrito con medidas de seguridad administrativas, técnicas y físicas?
- ? ¿Sabes quién responde una solicitud ARCO si llega hoy y en qué plazo?
- ? ¿Tus proveedores con acceso a datos firmaron cláusula específica de LFPDPPP?
- ? ¿Llevas un registro de incidentes de seguridad (incluso los "menores")?
- ? ¿Tu equipo está capacitado en la diferencia entre datos personales, sensibles y de negocio?
- ? ¿Hiciste un inventario de dónde viven los datos personales en tu empresa?
- ? ¿Tienes un procedimiento documentado de notificación de brechas?
Qué hacer si ya tuviste un incidente: plazos críticos
Si sospechas una filtración hoy, el reloj legal ya corre. Esto es lo que la nueva ley espera:
Primeras 24 horas
- Contener el incidente (aislar sistemas comprometidos)
- Preservar evidencia forense (NO reinstales servidores)
- Notificar a tu responsable legal y al proveedor de ciberseguridad
Primeras 72 horas
- Evaluar alcance: qué datos, cuántos titulares, qué tan sensibles
- Documentar la línea de tiempo del incidente
- Preparar comunicación a titulares afectados
Sin demora injustificada (típicamente ?7 días)
- Notificar a los titulares por un medio idóneo (email, carta, anuncio)
- Registrar el incidente formalmente
- Implementar medidas correctivas documentadas
La falta de notificación oportuna es una infracción independiente que se suma a la del incidente original. Muchas multas grandes no son por el hackeo en sí —son por el encubrimiento.
Por qué el "ciberseguro" ya no es suficiente solo
Muchas empresas contratan pólizas de ciberseguro pensando que son su red de protección. Son necesarias —pero no sustituyen la obligación legal de implementar medidas preventivas. De hecho:
- Las aseguradoras no cubren multas administrativas en la mayoría de los casos (son sanciones, no pérdidas)
- Exigen que la empresa tenga controles mínimos — sin ellos, rechazan el reclamo
- No cubren daño reputacional ni pérdida de clientes
La combinación que sí funciona: controles técnicos + compliance documentado + póliza de respuesta. Las tres piernas de la silla, no una sola.
En ALMSTRA ayudamos a PyMEs a cumplir la LFPDPPP sin gastar millones
Nuestro servicio de Compliance LFPDPPP Integral combina ciberseguridad técnica y cumplimiento legal en un mismo paquete — porque separarlos es precisamente la grieta que el caso CFE demostró que la autoridad ya no tolera.
Incluye:
- Diagnóstico de inventario de datos personales en tu organización
- Redacción de aviso de privacidad conforme a la reforma 2025
- Documento de medidas administrativas, técnicas y físicas
- Procedimientos ARCO y de notificación de brechas
- Revisión de contratos con proveedores (encargados del tratamiento)
- Implementación técnica (MFA, EDR, backups cifrados, DMARC)
- Capacitación del equipo
- Monitoreo continuo 24/7
? Agendar diagnóstico LFPDPPP gratuito — 45 minutos sin compromiso, te decimos en qué zona de riesgo está tu empresa hoy.
? Lee también: el hackeo Chronus y los 7 errores básicos — la contraparte técnica de este artículo.
Fuentes y lectura complementaria
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares — Cámara de Diputados (texto oficial)
- Mexico's New Personal Data Protection Law: Considerations for Businesses — Greenberg Traurig
- Nueva Ley de Protección de Datos Personales 2025: lo que toda empresa en México debe saber — Uplaw México
- Mexico Privacy Law (LFPDPPP): A 2025 Guide to Compliance — Secure Privacy
- Multas por protección de datos en México: sanciones y claves — IT Masters Mag
- Multas del INAI y Ciberseguridad: Análisis de Costo Legal 2025 — LinkOS
- Exigen auditoría externa a la CFE tras vulnerabilidad de tres años — Seguridad en América
- CFE dejó datos expuestos; ciberdelincuentes podrían dejar sin electricidad al país — La Otra Opinión / Cybernews
- Afirman que CFE dejó vulnerables datos por tres años — Diario MX
- CFE invierte más de 400 mdp en ciberseguridad tras apagones globales — Infobae
- La crisis de ciberseguridad que el gobierno niega, minimiza o evita ya tiene consecuencias reales — Infobae
Etiquetas
Sobre el autor
Benjamin Enrique Almada Estrada
Director General — ALMSTRA
ALMSTRA es una empresa mexicana de ciberseguridad y soporte TI con base en Hermosillo, Sonora. Acompañamos a PyMEs y medianas empresas con operación 24/7, respuesta a incidentes y cumplimiento LFPDPPP.
¿Tu empresa necesita auditar esto?
Te ofrecemos un diagnóstico gratuito de 45 minutos — evaluamos tu exposición actual y te entregamos un plan priorizado sin compromiso.