¿Es Legal Hackear en México? Lo Que el Código Penal Federal Castiga (y el Vacío Legal que Nadie te Explica)

Ejecutas un escaneo de puertos contra un servidor que no es tuyo. No robaste nada, no modificaste ni un archivo, ni siquiera llegaste a autenticarte. Aparentemente, no pasó nada. Pero en México, dependiendo de cómo se interprete, es posible que ya hayas rozado la frontera de un delito federal. Y lo más inquietante no es la severidad de la ley, sino todo lo que la ley todavía no dice.

En la industria de la ciberseguridad damos por sentado que existe una línea clara entre el atacante criminal y el profesional que prueba defensas. En la práctica jurídica mexicana, esa línea es mucho más borrosa de lo que a cualquier Red Teamer le gustaría admitir. Este es el primer artículo de una serie donde exploramos la intersección entre el hacking y el derecho penal en México: dónde estamos parados legalmente, qué nos protege y qué peligrosamente quedó fuera del texto de la ley.

Dónde viven los delitos informáticos en México

Quien busque en el Código Penal Federal un capítulo titulado “delitos cibernéticos” o “hacking” se va a quedar con las ganas. No existe. La columna vertebral de la persecución penal del hacking en México se encuentra en el Título Noveno, Capítulo II, bajo el nombre de “Acceso Ilícito a Sistemas y Equipos de Informática”, integrado por los artículos 211 bis 1 al 211 bis 7. Este capítulo se adicionó al Código en 1999 y su última reforma se publicó apenas en marzo de 2026.

Lo relevante para nosotros es cómo está construido el tipo penal. La ley no castiga “hackear” de forma genérica: castiga conductas muy específicas —modificar, destruir, provocar pérdida, conocer o copiar información— cuando concurren dos ingredientes que lo cambian todo.

Hacking

Los dos ingredientes que convierten una prueba en un delito

El primer ingrediente es actuar “sin autorización”. El segundo, que la información esté contenida en sistemas o equipos “protegidos por algún mecanismo de seguridad”. Ambos elementos aparecen textualmente en el articulado y son la base de toda la construcción penal.

Para un profesional ofensivo, esto tiene implicaciones enormes. La autorización es exactamente lo que separa un pentest contratado de un delito federal: es el mismo acto técnico, pero con una diferencia jurídica abismal. Y el requisito del “mecanismo de seguridad” genera una zona gris fascinante: si un sistema está completamente expuesto, sin contraseña ni control de acceso alguno, la actualización del tipo penal se vuelve discutible. No es que sea legal atacarlo —otras figuras podrían aplicar—, pero el tipo específico de acceso ilícito depende de que exista esa barrera que el atacante vulnera.

Las penas reales, sin adornos

Aquí es donde conviene ser preciso, porque las cifras que circulan en internet suelen estar infladas o desactualizadas. Esto es lo que dice el texto vigente:

Sistemas de particulares (Art. 211 bis 1). Quien sin autorización modifique, destruya o provoque pérdida de información en un sistema protegido enfrenta de seis meses a dos años de prisión y de cien a trescientos días multa. Si solo conoce o copia la información, la pena baja a tres meses a un año.

Sistemas del Estado (Art. 211 bis 2). Aquí sube: de uno a cuatro años por modificar o destruir. Cuando la información pertenece a sistemas de seguridad pública, la pena escala de cuatro a diez años, y se duplica si la conducta obstruye la procuración o impartición de justicia.

Sistema financiero (Art. 211 bis 4). Atacar información de instituciones financieras se castiga con seis meses a cuatro años de prisión.

El insider (Arts. 211 bis 3 y 211 bis 5). El Código distingue a quien sí estaba autorizado pero abusa de ese acceso. Contra sistemas del Estado, la pena llega hasta ocho años; y en el sistema financiero se incrementa a la mitad cuando el responsable es funcionario o empleado de la institución.

El agravante que multiplica todo (Art. 211 bis 7). Este es el que más debería preocupar. Las penas de todo el capítulo se aumentan hasta en una mitad cuando la información obtenida se utiliza en provecho propio o ajeno. Es decir: no es lo mismo acceder por curiosidad que monetizar lo obtenido.

Derecho y Ciberseguridad.

Lo que el Código NO dice: el verdadero problema

Hasta aquí el marco suena razonable. El problema aparece cuando uno se pregunta qué conductas quedaron fuera. Y la lista es larga.

El Código Penal Federal no contiene una definición específica de “delito informático”, lo que deja la interpretación en manos de jueces que muchas veces carecen de formación técnica. Más grave aún: figuras que hoy son el pan de cada día del cibercrimen —el robo de identidad, el phishing, el ransomware como figura autónoma— no están tipificadas de forma clara y homologada a los estándares internacionales. Se persiguen encajándolas a martillazos en tipos penales tradicionales como el fraude, la extorsión o la revelación de secretos, con resultados dispares según el estado de la República.

A esto se suma un rezago diplomático que pesa. México firmó tarde y avanza lento en materia de cooperación internacional: sigue siendo únicamente Estado observador del Convenio de Budapest sobre Ciberdelincuencia, el principal instrumento global para perseguir delitos transfronterizos, pese a que desde hace años se han presentado múltiples iniciativas en el Congreso para su adhesión. En un mundo donde el atacante casi siempre opera desde otra jurisdicción, esta ausencia se traduce en investigaciones que mueren por falta de herramientas de asistencia jurídica mutua.

La buena noticia es que el panorama se está moviendo. México prepara su primer Plan Nacional de Ciberseguridad y una futura Ley General de Ciberseguridad impulsada por la Agencia de Transformación Digital y Telecomunicaciones, que contemplaría la creación de una Agencia Nacional de Ciberseguridad y un Registro Nacional de Incidentes. Cómo quede redactada esa ley —y qué garantías incluya— será decisivo. Pero ese es tema del siguiente artículo de esta serie.

DERECHO PENAL Y CIBERSEGURIDAD

Entonces, ¿el pentester está protegido?

Sí, pero la protección no es automática ni mágica: se construye. La autorización que exige la ley no es un apretón de manos ni un correo informal. Es un contrato con alcance (scope) delimitado, reglas de involucramiento, ventanas de ejecución y firmas de quien tiene la facultad legal de autorizar el acceso a esos sistemas. Salirse del scope —tocar un activo no contemplado, escalar hacia un tercero, extraer datos más allá de lo pactado— es exactamente el punto donde un ejercicio legítimo puede convertirse en la conducta que castigan los artículos que acabamos de revisar.

Por eso, en el trabajo ofensivo serio, el documento legal es tan importante como el exploit. Un profesional que entiende ambos lados —el técnico y el penal— no solo protege a su cliente: se protege a sí mismo.

¿Tu organización sabe dónde está parada legalmente?

En ONESEC no solo ejecutamos ejercicios de Red Team y pentesting: los estructuramos con el marco legal adecuado, con reglas de involucramiento claras y documentación que protege tanto a tu organización como a los profesionales que realizan las pruebas. Si quieres evaluar la seguridad de tu infraestructura con la certeza de que cada acción está respaldada legalmente, contáctanos en onesec.mx.

En el próximo artículo de esta serie analizaremos la iniciativa de Ley Federal de Ciberseguridad: qué cambia para las empresas, qué obligaciones de reporte traería y por qué algunos especialistas ya encendieron las alarmas por sus posibles riesgos a los derechos humanos.


Referencias

Justia México – Código Penal Federal, Título Noveno, Capítulo II (Artículos 211 bis 1o. al 211 bis 7o.), última reforma DOF 13-03-2026. Recuperado el 17 de julio de 2026 de https://mexico.justia.com/federales/codigos/codigo-penal-federal/libro-segundo/titulo-noveno/capitulo-ii/

SciELO México – Delitos informáticos en México. Reconocimiento en los ordenamientos penales de las entidades mexicanas. Recuperado el 17 de julio de 2026 de https://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S2007-36072023000100005

IT Masters Mag – Delitos informáticos en México: cuáles son las leyes y multas. Recuperado el 17 de julio de 2026 de https://www.itmastersmag.com/ciberseguridad/delitos-informaticos-en-mexico-que-dice-la-ley/

Expansión – México prepara su primer Plan Nacional de Ciberseguridad para 2026. Recuperado el 17 de julio de 2026 de https://expansion.mx/tecnologia/2026/01/05/mexico-primer-plan-de-ciberseguridad-2026

Scitum – Iniciativa de Ley Federal de Ciberseguridad en México. Recuperado el 17 de julio de 2026 de https://resources.scitum.com.mx/iniciativa-de-ley-federal-de-ciberseguridad-en-mexico/



Share via
Copy link