{"id":2118,"date":"2026-07-17T02:35:31","date_gmt":"2026-07-17T08:35:31","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=2118"},"modified":"2026-07-17T11:20:42","modified_gmt":"2026-07-17T17:20:42","slug":"es-legal-hackear-en-mexico-lo-que-el-codigo-penal-federal-castiga-y-el-vacio-legal-que-nadie-te-explica","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/07\/es-legal-hackear-en-mexico-lo-que-el-codigo-penal-federal-castiga-y-el-vacio-legal-que-nadie-te-explica\/","title":{"rendered":"\u00bfEs Legal Hackear en M\u00e9xico? Lo Que el C\u00f3digo Penal Federal Castiga (y el Vac\u00edo Legal que Nadie te Explica)"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Ejecutas un escaneo de puertos contra un servidor que no es tuyo. No robaste nada, no modificaste ni un archivo, ni siquiera llegaste a autenticarte. Aparentemente, no pas\u00f3 nada. Pero en M\u00e9xico, dependiendo de c\u00f3mo se interprete, es posible que ya hayas rozado la frontera de un delito federal. Y lo m\u00e1s inquietante no es la severidad de la ley, sino todo lo que la ley todav\u00eda <strong>no<\/strong> dice.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En la industria de la ciberseguridad damos por sentado que existe una l\u00ednea clara entre el atacante criminal y el profesional que prueba defensas. En la pr\u00e1ctica jur\u00eddica mexicana, esa l\u00ednea es mucho m\u00e1s borrosa de lo que a cualquier Red Teamer le gustar\u00eda admitir. Este es el primer art\u00edculo de una serie donde exploramos la intersecci\u00f3n entre el hacking y el derecho penal en M\u00e9xico: d\u00f3nde estamos parados legalmente, qu\u00e9 nos protege y qu\u00e9 peligrosamente qued\u00f3 fuera del texto de la ley.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">D\u00f3nde viven los delitos inform\u00e1ticos en M\u00e9xico<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Quien busque en el C\u00f3digo Penal Federal un cap\u00edtulo titulado &#8220;delitos cibern\u00e9ticos&#8221; o &#8220;hacking&#8221; se va a quedar con las ganas. No existe. La columna vertebral de la persecuci\u00f3n penal del hacking en M\u00e9xico se encuentra en el <strong>T\u00edtulo Noveno, Cap\u00edtulo II<\/strong>, bajo el nombre de &#8220;Acceso Il\u00edcito a Sistemas y Equipos de Inform\u00e1tica&#8221;, integrado por los art\u00edculos 211 bis 1 al 211 bis 7. Este cap\u00edtulo se adicion\u00f3 al C\u00f3digo en 1999 y su \u00faltima reforma se public\u00f3 apenas en marzo de 2026.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Lo relevante para nosotros es c\u00f3mo est\u00e1 construido el tipo penal. La ley no castiga &#8220;hackear&#8221; de forma gen\u00e9rica: castiga conductas muy espec\u00edficas \u2014modificar, destruir, provocar p\u00e9rdida, conocer o copiar informaci\u00f3n\u2014 cuando concurren <strong>dos ingredientes<\/strong> que lo cambian todo.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"541\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-2.png\" alt=\"Hacking\" class=\"wp-image-2121\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-2.png 1024w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-2-300x158.png 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-2-768x406.png 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Los dos ingredientes que convierten una prueba en un delito<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">El primer ingrediente es actuar <strong>&#8220;sin autorizaci\u00f3n&#8221;<\/strong>. El segundo, que la informaci\u00f3n est\u00e9 contenida en sistemas o equipos <strong>&#8220;protegidos por alg\u00fan mecanismo de seguridad&#8221;<\/strong>. Ambos elementos aparecen textualmente en el articulado y son la base de toda la construcci\u00f3n penal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para un profesional ofensivo, esto tiene implicaciones enormes. La autorizaci\u00f3n es exactamente lo que separa un pentest contratado de un delito federal: es el mismo acto t\u00e9cnico, pero con una diferencia jur\u00eddica abismal. Y el requisito del &#8220;mecanismo de seguridad&#8221; genera una zona gris fascinante: si un sistema est\u00e1 completamente expuesto, sin contrase\u00f1a ni control de acceso alguno, la actualizaci\u00f3n del tipo penal se vuelve discutible. No es que sea legal atacarlo \u2014otras figuras podr\u00edan aplicar\u2014, pero el tipo espec\u00edfico de acceso il\u00edcito depende de que exista esa barrera que el atacante vulnera.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Las penas reales, sin adornos<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Aqu\u00ed es donde conviene ser preciso, porque las cifras que circulan en internet suelen estar infladas o desactualizadas. Esto es lo que dice el texto vigente:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Sistemas de particulares (Art. 211 bis 1).<\/strong> Quien sin autorizaci\u00f3n modifique, destruya o provoque p\u00e9rdida de informaci\u00f3n en un sistema protegido enfrenta de seis meses a dos a\u00f1os de prisi\u00f3n y de cien a trescientos d\u00edas multa. Si solo conoce o copia la informaci\u00f3n, la pena baja a tres meses a un a\u00f1o.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Sistemas del Estado (Art. 211 bis 2).<\/strong> Aqu\u00ed sube: de uno a cuatro a\u00f1os por modificar o destruir. Cuando la informaci\u00f3n pertenece a sistemas de seguridad p\u00fablica, la pena escala de cuatro a diez a\u00f1os, y se duplica si la conducta obstruye la procuraci\u00f3n o impartici\u00f3n de justicia.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Sistema financiero (Art. 211 bis 4).<\/strong> Atacar informaci\u00f3n de instituciones financieras se castiga con seis meses a cuatro a\u00f1os de prisi\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>El insider (Arts. 211 bis 3 y 211 bis 5).<\/strong> El C\u00f3digo distingue a quien s\u00ed estaba autorizado pero abusa de ese acceso. Contra sistemas del Estado, la pena llega hasta ocho a\u00f1os; y en el sistema financiero se incrementa a la mitad cuando el responsable es funcionario o empleado de la instituci\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>El agravante que multiplica todo (Art. 211 bis 7).<\/strong> Este es el que m\u00e1s deber\u00eda preocupar. Las penas de todo el cap\u00edtulo se aumentan hasta en una mitad cuando la informaci\u00f3n obtenida se utiliza en provecho propio o ajeno. Es decir: no es lo mismo acceder por curiosidad que monetizar lo obtenido.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"541\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image.png\" alt=\"Derecho y Ciberseguridad.\" class=\"wp-image-2119\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image.png 1024w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-300x158.png 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-768x406.png 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Lo que el C\u00f3digo NO dice: el verdadero problema<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hasta aqu\u00ed el marco suena razonable. El problema aparece cuando uno se pregunta qu\u00e9 conductas quedaron fuera. Y la lista es larga.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El C\u00f3digo Penal Federal <strong>no contiene una definici\u00f3n espec\u00edfica de &#8220;delito inform\u00e1tico&#8221;<\/strong>, lo que deja la interpretaci\u00f3n en manos de jueces que muchas veces carecen de formaci\u00f3n t\u00e9cnica. M\u00e1s grave a\u00fan: figuras que hoy son el pan de cada d\u00eda del cibercrimen \u2014el robo de identidad, el phishing, el ransomware como figura aut\u00f3noma\u2014 no est\u00e1n tipificadas de forma clara y homologada a los est\u00e1ndares internacionales. Se persiguen encaj\u00e1ndolas a martillazos en tipos penales tradicionales como el fraude, la extorsi\u00f3n o la revelaci\u00f3n de secretos, con resultados dispares seg\u00fan el estado de la Rep\u00fablica.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A esto se suma un rezago diplom\u00e1tico que pesa. M\u00e9xico firm\u00f3 tarde y avanza lento en materia de cooperaci\u00f3n internacional: sigue siendo \u00fanicamente Estado observador del Convenio de Budapest sobre Ciberdelincuencia, el principal instrumento global para perseguir delitos transfronterizos, pese a que desde hace a\u00f1os se han presentado m\u00faltiples iniciativas en el Congreso para su adhesi\u00f3n. En un mundo donde el atacante casi siempre opera desde otra jurisdicci\u00f3n, esta ausencia se traduce en investigaciones que mueren por falta de herramientas de asistencia jur\u00eddica mutua.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La buena noticia es que el panorama se est\u00e1 moviendo. M\u00e9xico prepara su primer Plan Nacional de Ciberseguridad y una futura Ley General de Ciberseguridad impulsada por la Agencia de Transformaci\u00f3n Digital y Telecomunicaciones, que contemplar\u00eda la creaci\u00f3n de una Agencia Nacional de Ciberseguridad y un Registro Nacional de Incidentes. C\u00f3mo quede redactada esa ley \u2014y qu\u00e9 garant\u00edas incluya\u2014 ser\u00e1 decisivo. Pero ese es tema del siguiente art\u00edculo de esta serie.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"423\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-1.png\" alt=\"DERECHO PENAL Y CIBERSEGURIDAD\" class=\"wp-image-2120\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-1.png 800w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-1-300x159.png 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/image-1-768x406.png 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Entonces, \u00bfel pentester est\u00e1 protegido?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">S\u00ed, pero la protecci\u00f3n no es autom\u00e1tica ni m\u00e1gica: se construye. La autorizaci\u00f3n que exige la ley no es un apret\u00f3n de manos ni un correo informal. Es un contrato con alcance (scope) delimitado, reglas de involucramiento, ventanas de ejecuci\u00f3n y firmas de quien tiene la facultad legal de autorizar el acceso a esos sistemas. Salirse del scope \u2014tocar un activo no contemplado, escalar hacia un tercero, extraer datos m\u00e1s all\u00e1 de lo pactado\u2014 es exactamente el punto donde un ejercicio leg\u00edtimo puede convertirse en la conducta que castigan los art\u00edculos que acabamos de revisar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Por eso, en el trabajo ofensivo serio, el documento legal es tan importante como el exploit. Un profesional que entiende ambos lados \u2014el t\u00e9cnico y el penal\u2014 no solo protege a su cliente: se protege a s\u00ed mismo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfTu organizaci\u00f3n sabe d\u00f3nde est\u00e1 parada legalmente?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">En ONESEC no solo ejecutamos ejercicios de Red Team y pentesting: los estructuramos con el marco legal adecuado, con reglas de involucramiento claras y documentaci\u00f3n que protege tanto a tu organizaci\u00f3n como a los profesionales que realizan las pruebas. Si quieres evaluar la seguridad de tu infraestructura con la certeza de que cada acci\u00f3n est\u00e1 respaldada legalmente, cont\u00e1ctanos en onesec.mx.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En el pr\u00f3ximo art\u00edculo de esta serie analizaremos la iniciativa de Ley Federal de Ciberseguridad: qu\u00e9 cambia para las empresas, qu\u00e9 obligaciones de reporte traer\u00eda y por qu\u00e9 algunos especialistas ya encendieron las alarmas por sus posibles riesgos a los derechos humanos.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Justia M\u00e9xico<\/strong> \u2013 C\u00f3digo Penal Federal, T\u00edtulo Noveno, Cap\u00edtulo II (Art\u00edculos 211 bis 1o. al 211 bis 7o.), \u00faltima reforma DOF 13-03-2026. Recuperado el 17 de julio de 2026 de <a href=\"https:\/\/mexico.justia.com\/federales\/codigos\/codigo-penal-federal\/libro-segundo\/titulo-noveno\/capitulo-ii\/\">https:\/\/mexico.justia.com\/federales\/codigos\/codigo-penal-federal\/libro-segundo\/titulo-noveno\/capitulo-ii\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>SciELO M\u00e9xico<\/strong> \u2013 Delitos inform\u00e1ticos en M\u00e9xico. Reconocimiento en los ordenamientos penales de las entidades mexicanas. Recuperado el 17 de julio de 2026 de <a href=\"https:\/\/www.scielo.org.mx\/scielo.php?script=sci_arttext&amp;pid=S2007-36072023000100005\">https:\/\/www.scielo.org.mx\/scielo.php?script=sci_arttext&amp;pid=S2007-36072023000100005<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>IT Masters Mag<\/strong> \u2013 Delitos inform\u00e1ticos en M\u00e9xico: cu\u00e1les son las leyes y multas. Recuperado el 17 de julio de 2026 de <a href=\"https:\/\/www.itmastersmag.com\/ciberseguridad\/delitos-informaticos-en-mexico-que-dice-la-ley\/\">https:\/\/www.itmastersmag.com\/ciberseguridad\/delitos-informaticos-en-mexico-que-dice-la-ley\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Expansi\u00f3n<\/strong> \u2013 M\u00e9xico prepara su primer Plan Nacional de Ciberseguridad para 2026. Recuperado el 17 de julio de 2026 de <a href=\"https:\/\/expansion.mx\/tecnologia\/2026\/01\/05\/mexico-primer-plan-de-ciberseguridad-2026\">https:\/\/expansion.mx\/tecnologia\/2026\/01\/05\/mexico-primer-plan-de-ciberseguridad-2026<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Scitum<\/strong> \u2013 Iniciativa de Ley Federal de Ciberseguridad en M\u00e9xico. Recuperado el 17 de julio de 2026 de <a href=\"https:\/\/resources.scitum.com.mx\/iniciativa-de-ley-federal-de-ciberseguridad-en-mexico\/\">https:\/\/resources.scitum.com.mx\/iniciativa-de-ley-federal-de-ciberseguridad-en-mexico\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El C\u00f3digo Penal Federal no castiga &#8220;hackear&#8221; en abstracto, sino conductas muy espec\u00edficas. Analizamos los art\u00edculos 211 bis, las penas reales, qu\u00e9 protege legalmente a un pentester y el vac\u00edo que deja a M\u00e9xico rezagado frente al cibercrimen.<\/p>\n","protected":false},"author":4,"featured_media":2121,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21,7,4,51,16,5,19,8,40],"tags":[69,70,43,71,72],"class_list":["post-2118","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberinteligencia","category-cumplimiento","category-pentest","category-pruebas-de-penetracion-en-la-nube","category-requerimientos-pcidss","category-seguridad-de-la-informacion","category-seguridad-en-redes-wi-fi","category-seguridad-web","category-zero-trust","tag-derecho","tag-hacker","tag-hacking","tag-legal","tag-leyes"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=2118"}],"version-history":[{"count":2,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2118\/revisions"}],"predecessor-version":[{"id":2123,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2118\/revisions\/2123"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/2121"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=2118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=2118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=2118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}