Desde el pasado 14 de junio, el estado de Puebla se encuentra bajo el impacto de una nueva legislación que ha encendido las alarmas en redes sociales y entre organizaciones defensoras de los derechos humanos: la llamada Ley de Ciberseguridad, conocida popularmente como la “Ley Censura”. Publicada un día antes en el Periódico Oficial del Estado, esta reforma al Código Penal pretende regular los delitos cometidos en entornos digitales. No obstante, sus críticos advierten que podría convertirse en una herramienta para silenciar voces disidentes, más que en una medida eficaz contra el cibercrimen.
¿Qué establece esta ley y por qué ha generado tanto rechazo?
El núcleo de la polémica se encuentra en el Artículo 480 del Código Penal, que introduce el delito de ciberasedio, definido como el acto de “insultar, injuriar, ofender, agraviar o vejar” de manera reiterada a una persona por medio de redes sociales, correo electrónico u otras plataformas digitales, siempre que dicha conducta cause un “menoscabo importante” en la salud física o emocional de la víctima. Las sanciones previstas para quienes incurran en este delito son severas:
– Prisión: de 11 meses a 3 años.
– Multas: entre 5,657 y 39,599 pesos, calculadas con base en la Unidad de Medida y Actualización (UMA) de 2025.
– Penas agravadas: si la víctima es menor de edad, se presume un daño a su dignidad por su etapa de desarrollo psicoemocional, lo que puede incrementar las sanciones hasta en dos terceras partes.
Además del ciberasedio, la ley tipifica otros delitos como el espionaje digital, usurpación de identidad, hacking, fraude electrónico y grooming (acercamiento indebido de adultos a menores). Sin embargo, es el delito de ciberasedio el que ha acaparado la atención pública debido a su redacción ambigua y su potencial uso como mecanismo de censura.
Aunque se presenta como una medida para proteger a la ciudadanía frente a amenazas digitales, la reforma muestra múltiples carencias que debilitan su efectividad y credibilidad. Su redacción confusa y la falta de claridad sobre su aplicación generan incertidumbre tanto en términos jurídicos como operativos.
Uno de los puntos más criticados es la omisión de actores clave en el ciberespacio. La ley no contempla amenazas sofisticadas como los Estados-nación que realizan ciberespionaje o sabotaje, ciberterroristas que buscan generar caos social, hacktivistas con motivaciones políticas (como el colectivo Anonymous), empleados internos maliciosos (insiders), cibercrimen organizado ni amenazas persistentes avanzadas (APT). Estas omisiones dejan a Puebla expuesta ante ciberataques de alto impacto, particularmente aquellos dirigidos a infraestructuras críticas como energía, salud, transporte o sistemas financieros.
Además, la ley carece de un marco preventivo. No establece medidas como la capacitación de ciudadanos y empresas en temas de ciberseguridad, la creación de un Centro de Respuesta a Incidentes Cibernéticos (CERT) estatal ni estrategias para la protección de sistemas esenciales. Esta falta de enfoque proactivo limita la capacidad del estado para anticipar o contener ataques digitales.
Otro aspecto preocupante es la desigualdad en la atención a las amenazas. Al enfocarse principalmente en el ciberasedio —un delito de índole interpersonal—, se deja de lado la gravedad de delitos con consecuencias sistémicas, como el robo masivo de datos, la interrupción de servicios esenciales o la extorsión digital. Esto puede generar una falsa sensación de seguridad entre la población, al tiempo que deja sin herramientas adecuadas a las autoridades para enfrentar incidentes de gran escala.
La ley tampoco contempla mecanismos de colaboración con otras entidades federativas ni con autoridades nacionales. La ausencia de mecanismos interinstitucionales para el intercambio de información y estrategias impide una respuesta coordinada ante amenazas transnacionales como el crimen organizado o los APTs, cuya naturaleza excede la capacidad de una jurisdicción estatal.
A ello se suma la ambigüedad sobre el ámbito de aplicación de la ley. No se especifica si sus disposiciones se limitan a individuos físicamente localizados en Puebla o si también se pretende sancionar a delincuentes digitales de otras regiones o países cuyos actos afecten a víctimas poblanas. Esta indefinición plantea serios desafíos legales:
– Dificultades para perseguir delitos transnacionales: gran parte de los ciberataques se originan fuera del país, a través de herramientas que ocultan la identidad del agresor (como VPNs o cuentas anónimas), lo que exige cooperación internacional. La ley no establece rutas para ello.
– Ausencia de protocolos de investigación digital: no se detalla cómo recolectar evidencia digital respetando principios legales y derechos humanos, lo cual puede abrir la puerta a investigaciones arbitrarias o fallidas en los tribunales.
– Inviabilidad de sancionar a actores sofisticados: incluso si se intentara aplicar la ley a Estados-nación u organizaciones APT, su procesamiento sería prácticamente imposible debido a la inmunidad soberana o la dificultad de atribución legal. La normativa simplemente no contempla mecanismos para enfrentar estos casos.
La iniciativa fue presentada en noviembre de 2024 por el entonces diputado local José Luis García Parra, actual coordinador del gabinete del gobernador Alejandro Armenta, ambos integrantes del partido Morena. Su aprobación se dio a través de un proceso legislativo acelerado (“fast track”), sin consulta pública ni participación de expertos en ciberseguridad, lo que despertó fuertes críticas de organizaciones como Artículo 19, Sociedad Civil México y partidos de oposición como el PRI, PAN y Movimiento Ciudadano.
La controversia se agudiza al coincidir con el auge de cuentas anónimas en redes sociales, como “Aldea Poblana”, que critican al gobierno estatal. Esto ha llevado a diversos sectores a considerar que la ley podría tener un trasfondo político, encaminado a controlar la narrativa digital y limitar la crítica ciudadana.
El uso de términos vagos en la legislación, como “insulto” u “ofensa”, refuerza estos temores. Organizaciones defensoras de la libertad de expresión alertan que estos conceptos podrían ser interpretados de manera subjetiva para perseguir judicialmente a periodistas, activistas o ciudadanos que denuncien irregularidades a través de redes sociales.
Lejos de brindar certezas, la Ley de Ciberseguridad obliga a los ciudadanos poblanos a autocensurarse, ante el riesgo de que cualquier comentario crítico sea considerado ciberasedio con consecuencias penales. Al mismo tiempo, deja sin cobertura a sectores vulnerables como empresas, instituciones y ciudadanos frente a amenazas digitales complejas.
La falta de medidas preventivas, de colaboración institucional y de un enfoque integral hace que Puebla permanezca vulnerable en un entorno digital cada vez más hostil. El problema se agrava con la percepción errónea de seguridad que genera el nombre de la ley, lo cual podría derivar en costos económicos, sociales y políticos si llegaran a materializarse incidentes como el robo masivo de datos o la interrupción de servicios esenciales.
La Ley de Ciberseguridad de Puebla representa un intento por regular el entorno digital, pero su ambigüedad, vacíos legales y enfoque limitado la convierten en una normativa incompleta y potencialmente riesgosa. Para que cumpla verdaderamente con su propósito, se requiere complementarla con un marco integral que contemple acciones preventivas, educación en ciberseguridad, mecanismos de cooperación nacional e internacional y la protección efectiva de infraestructuras críticas.
Una ley apresurada y deficiente no puede ni debe convertirse en un precedente para que otros estados impulsen normativas igualmente desequilibradas, sin revisión ni análisis. En vez de proteger a la ciudadanía, este tipo de legislaciones tienden a sembrar miedo y limitar la libertad de expresión, sin atacar de fondo el verdadero reto que enfrenta México: el combate al cibercrimen global.
Diversas organizaciones de la sociedad civil ya han solicitado su revisión e incluso plantean impugnarla ante la Suprema Corte de Justicia de la Nación, con el objetivo de que respete los derechos fundamentales y aborde de manera efectiva los verdaderos desafíos de la ciberseguridad.
En este contexto, Puebla —como el resto de los estados de la república— necesita una legislación clara, sólida y equilibrada. Por ahora, la llamada “Ley Censura” parece estar más cerca de generar incertidumbre y temor que de ofrecer soluciones reales.
* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.
X: https://x.com/victor_ruiz
Instagram: https://www.instagram.com/silikn
YouTube: https://www.youtube.com/@silikn7599
