El candado en la puerta no sirve si alguien ya está adentro.

Tu empresa puso contraseña. Después puso doble autenticación. Después revisó los accesos. Y el atacante entró igual — porque nunca rompió nada. Llegó con las llaves de alguien que ya había entrado antes.

JM

JMCoach · #TheHowMaker

 

El 60% de las brechas de seguridad en 2025 involucraron un elemento humano — no una falla técnica. El atacante no hackeó el sistema. Convenció, robó o esperó hasta que alguien lo dejó entrar. Verizon DBIR 2025.

Imagina que pones un candado biométrico en la oficina.
Instalas cámaras. Contratas vigilancia. Tienes protocolo.
Un día alguien copia la llave magnética de un empleado.
Entra por la puerta principal. Saluda al guardia. Se sienta en un escritorio.

El sistema registra: acceso autorizado.
Tú ves en el reporte: todo normal.
Él lleva tres meses adentro.

Eso no es ciencia ficción. Es el método de ataque más común del mundo en este momento — y el que más tiempo tarda en detectarse. No requiere hackers de película. No requiere vulnerabilidades de software exóticas. Requiere una sola cosa: una sesión activa que alguien no cerró, en un equipo que nadie revisó, desde una conexión que nadie validó.

Y mientras eso sucede, tu empresa sigue operando. Los reportes salen limpios. El acceso aparece como legítimo. La persona cuya sesión fue copiada sigue trabajando sin saber nada. El atacante está en tu correo, en tu CRM, en tu sistema de nómina o en tu plataforma de ventas — con permisos completos, sin alarmas, sin rastro obvio.

Este artículo no es para el área de TI. Es para el director general, el director de operaciones, el consejo, el dueño de empresa. Porque la decisión que permite o evita este escenario no la toma el técnico. La toman ustedes — cuando aprueban políticas, cuando asignan presupuesto, cuando deciden si esto es un problema de TI o un problema del negocio.

Es un problema del negocio.

Los números que nadie pone en la junta directiva

$4.88M

costo promedio global de una brecha de seguridad en 2024 — récord histórico, 10% más que el año anterior

IBM Cost of a Data Breach Report 2024

258 días

tiempo promedio para identificar y contener una brecha en 2024 — más de ocho meses con el atacante adentro

IBM Cost of a Data Breach Report 2024

292 días

tiempo promedio cuando la brecha involucra credenciales robadas — el vector más lento de detectar de todos

IBM / Enzoic 2024

60%

de todas las brechas en 2025 involucró un elemento humano — error, manipulación o mal uso de accesos

Verizon DBIR 2025 · +20,000 incidentes analizados

88%

de los ataques a aplicaciones web usaron credenciales robadas — no vulnerabilidades técnicas

Verizon DBIR 2025

2,800M

contraseñas publicadas para venta o descarga gratuita en foros criminales solo en 2024

Verizon DBIR 2025 · Descope 2025

Ocho meses. Ese es el tiempo promedio que una empresa tarda en darse cuenta de que tiene a alguien no autorizado dentro de sus sistemas. Ocho meses en los que ese alguien puede leer, copiar, modificar, extorsionar, vender o simplemente esperar el momento oportuno. Y en el 88% de los casos, no entró rompiendo nada. Entró con una contraseña que alguien más tenía — y que ya no debería haber estado activa.

El trabajo híbrido multiplicó las superficies de riesgo: empleados conectándose desde casa, desde cafeterías, desde dispositivos personales que nunca fueron revisados por nadie. Cada una de esas conexiones es una puerta. La pregunta es cuántas están abiertas ahora mismo.

Tres casos reales. Sin nombres. Porque podría ser cualquiera.

Los siguientes escenarios no son hipotéticos. Son patrones documentados que se repiten en empresas de todos los tamaños, en todos los sectores. Los detalles específicos han sido generalizados — pero la mecánica es exacta.

Caso 01 · Empresa mediana · Sector financiero · México

"Teníamos MFA. Lo hackearon igual."

Una empresa de servicios financieros con 300 empleados había implementado doble autenticación en todos sus sistemas hace dos años. El director de TI lo reportó al consejo como un logro de seguridad. Tenían contraseñas, MFA, y acceso remoto por VPN. Estaban, según todos los criterios internos, protegidos.

Lo que no tenían era validación del equipo desde el que se conectaba cada usuario. Un empleado del área comercial recibió un correo que parecía ser del proveedor de software que usaban a diario. Ingresó a un portal idéntico al real. Puso su usuario, su contraseña, aprobó el MFA en su celular como siempre. Lo que no sabía es que el portal era falso — y que en ese momento, un atacante en otro país estaba copiando su token de sesión activo.

El token de sesión es lo que el sistema usa para reconocer que "ya validaste quién eres" durante las horas siguientes. No requiere contraseña ni MFA nuevamente. Es una llave temporal — y el atacante acababa de copiarla.

Durante las siguientes seis semanas, el atacante accedió al CRM, descargó la base de datos de clientes completa y exploró los sistemas de nómina. El sistema registraba todo como acceso legítimo del empleado. Nadie sospechó nada hasta que un cliente llamó para preguntar por una llamada que nunca realizó.

Resultado: base de datos de 12,000 clientes comprometida. Multa regulatoria. Pérdida de tres clientes corporativos que cancelaron contratos al enterarse. Costo total estimado: entre 8 y 12 millones de pesos. El MFA siguió activo durante todo el proceso — y no sirvió de nada.

Caso 02 · Empresa grande · Sector manufactura y retail · LATAM

"El ex empleado se fue hace seis meses. Seguía teniendo acceso."

Una empresa con operaciones en cuatro países y más de 2,000 empleados tenía un proceso de baja de personal que incluía, en papel, la revocación de accesos digitales. En la práctica, el proceso dependía de que RRHH notificara a TI, TI notificara a cada administrador de sistema, y cada administrador ejecutara la baja en su plataforma respectiva. Correo. ERP. Sistema de ventas. Almacén. Plataforma de proveedores. Diecinueve sistemas en total.

Un supervisor de operaciones fue dado de baja en términos no amistosos. RRHH notificó a TI. TI ejecutó la baja en los sistemas principales. Pero en tres plataformas secundarias — incluida la de gestión de proveedores y la de aprobación de órdenes de compra — el acceso nunca fue revocado. El supervisor lo sabía. Esperó cuatro meses.

Luego comenzó a aprobar órdenes de compra a un proveedor que era de su propiedad, a través de la plataforma que seguía siendo accesible con sus credenciales originales. El sistema los registraba como órdenes legítimas aprobadas internamente.

Resultado: fraude detectado en la auditoría anual, siete meses después de la baja. Monto desviado: aproximadamente 4.3 millones de pesos. Proceso legal en curso. El director de TI argumentó que el proceso existía. El director general respondió que el proceso no funcionaba — y ambos tenían razón.

Caso 03 · Consejo de administración · Empresa regulada · México

"Pasamos la auditoría. Nos hackearon tres semanas después."

Una empresa del sector salud con presencia en doce estados había invertido el año anterior en una consultoría de seguridad que certificó sus sistemas bajo estándares internacionales. El reporte fue presentado al consejo con resultados positivos. La empresa había invertido bien, había mejorado sus controles, había pasado el pentest. El consejo aprobó el informe y pasó al siguiente punto del orden del día.

Lo que la auditoría no evaluó — porque no estaba en su alcance — era el comportamiento de los dispositivos desde los que el personal directivo se conectaba a los sistemas. Tres miembros del comité ejecutivo usaban sus laptops personales para acceder al sistema de expedientes médicos y al ERP financiero. Esas laptops no tenían cifrado activado, no tenían antivirus corporativo, no estaban inscritas en ningún sistema de gestión de dispositivos. Nunca habían sido revisadas por nadie.

Un ataque de infostealer — un programa malicioso que se instala silenciosamente y registra todo lo que se escribe y todo a lo que se accede — había estado activo en una de esas laptops durante meses antes de la auditoría. Los certificados de seguridad del sistema no decían nada de eso. El sistema estaba seguro. El equipo desde el que se accedía al sistema, no.

Resultado: expedientes de 8,400 pacientes expuestos. Notificación obligatoria a INAI. Investigación por parte del organismo regulador. Cobertura en medios especializados. El sistema nunca fue vulnerado — el acceso fue completamente legítimo, desde las credenciales correctas, desde un equipo que nadie había revisado porque no era "parte del perímetro de seguridad".

En los tres casos el sistema hizo exactamente lo que debía.
Verificó al usuario. Aprobó el acceso. Registró la sesión.
Nadie le preguntó al sistema si el equipo era de confianza.
Nadie se lo había enseñado a preguntar.

Qué es Zero Trust — en lenguaje de personas

Zero Trust no es un producto. No se compra en una tienda de software. No es una caja que se instala y listo. Es una decisión sobre cómo tu empresa piensa acerca de la confianza — y la decisión es esta: no confiar en nada de forma automática, verificar todo de forma continua.

En el modelo tradicional de seguridad, la lógica era: si estás dentro de la red de la empresa, eres de confianza. Si pasaste el acceso inicial, eres de confianza. Si tienes la contraseña correcta y el MFA, eres de confianza. Esa lógica funcionaba cuando todos trabajaban en la misma oficina, en las mismas computadoras, conectados al mismo servidor físico.

En 2026, esa realidad no existe. El correo está en la nube. El CRM está en la nube. El sistema de nómina está en la nube. Los empleados se conectan desde casa, desde el aeropuerto, desde su celular personal, desde la laptop que compraron ellos mismos. El "perímetro de seguridad" que antes era las cuatro paredes de la oficina ahora no existe. Y sin embargo, la mayoría de las empresas siguen usando el modelo de seguridad diseñado para ese perímetro que ya no está ahí.

Zero Trust no desconfía de las personas. Desconfía de los supuestos. La diferencia es que en lugar de asumir que alguien es de confianza porque ya pasó el primer filtro, verifica continuamente: ¿quién es?, ¿desde qué equipo?, ¿está ese equipo sano?, ¿debería poder hacer esto ahora?

Esas cuatro preguntas — repetidas en cada acceso, en cada sesión, en cada transacción — son la diferencia entre los tres casos que acabas de leer y una empresa que los hubiera detectado antes de que se convirtieran en crisis.

La decisión de implementar Zero Trust no la toma el área de TI. La toma el director general cuando decide que la seguridad de los sistemas es un tema de agenda en el consejo — no una línea en el reporte técnico trimestral.

Por qué esto es un problema del consejo, no del área de TI

Aquí está el punto que más incomoda en las conversaciones con dirección: en los tres casos anteriores, el área de TI hizo su trabajo. Implementó lo que le pidieron. Reportó lo que podía reportar. El problema no estaba en la tecnología — estaba en las decisiones que se tomaron por encima de ella.

La decisión de permitir que directivos usen equipos personales sin control corporativo no la tomó TI. La tomó alguien que pensó que pedir a un director que usara una laptop de empresa era incómodo. La decisión de no invertir en un sistema centralizado de gestión de accesos que revoque credenciales automáticamente cuando alguien es dado de baja no la tomó TI — la tomó quien aprobó el presupuesto y decidió que no era prioritario. La decisión de celebrar que "pasaron el pentest" sin preguntar qué no estaba en el alcance de ese pentest la tomó quien recibió el reporte y lo archivó.

Bajo ISO 31000 — el estándar de gestión de riesgo operacional — estos escenarios no son accidentes. Son riesgos identificables, medibles y mitigables que deben estar en la matriz de riesgo de cualquier empresa que opere con datos, sistemas o clientes. Y bajo las disposiciones de la CNBV para entidades financieras reguladas, la responsabilidad de esa matriz no recae en el CISO. Recae en el consejo.

El riesgo operacional tecnológico que no está en tu matriz no desaparece. Sigue ahí. Solo que ahora no tienes plan de respuesta cuando ocurra.

El CISO y TI no son lo mismo — y confundirlos sale caro

Hay una confusión costosa que se repite en demasiadas organizaciones mexicanas: creer que el área de TI y el CISO son el mismo problema. No lo son. TI opera los sistemas. El CISO protege la información. Cuando una sola persona o un solo equipo hace las dos cosas, inevitablemente una de las dos se hace mal — y casi siempre es la seguridad la que cede ante la operación.

El CISO no es un técnico avanzado. Es un perfil de riesgo: alguien que entiende qué información tiene la empresa, qué valor tiene, quién puede acceder a ella, cómo podría salir, y qué controles existen para detectarlo cuando ocurra. Ese perfil necesita dos cosas que pocas empresas le dan: independencia del área de TI para reportar riesgos sin filtros, y acceso directo al consejo para que los riesgos lleguen a quienes tienen autoridad para mitigarlos.

Tener CISO en el organigrama sin darle independencia, presupuesto y acceso al consejo es tener la ilusión de seguridad — que es exactamente lo más peligroso que puede tener una empresa.

La CISA — la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos — y el NIST CSF 2.0 coinciden en algo que en México todavía cuesta escuchar: la gobernanza de seguridad no es función del área técnica. Es función del consejo. El CSF 2.0 añadió por primera vez una función explícita de Govern — Gobernar — como el primero de sus seis pilares, por encima de Identificar, Proteger, Detectar, Responder y Recuperar. Porque sin gobernanza, los otros cinco no funcionan.

Cifrado, desarrollo seguro y el principio de privilegio mínimo

Hay tres prácticas que las organizaciones más serias del mundo aplican de forma consistente y que en México siguen siendo la excepción. No son complejas. Son disciplina.

Cifrado en todas las capas, no solo en tránsito. La mayoría de las empresas cifra los datos cuando viajan entre sistemas — el "candado" del navegador que todos conocen. Lo que pocas hacen es cifrar los datos en reposo: archivos almacenados en servidores, bases de datos, laptops corporativas, discos de respaldo. Un atacante que obtiene acceso a un servidor sin cifrado no necesita credenciales adicionales. Tiene todo. El NIST CSF 2.0 y la CISA son explícitos: cifrado de datos en reposo y en uso no es opcional en entornos que manejan información sensible. Incluso enmascarar información para que no se copiada, bloquear copiado de pantallas, etc. Expiración de sesiones, tokens, blindar dispositivos si presentan cambios.

Desarrollo seguro desde el inicio, no como revisión final. La mayoría de las vulnerabilidades en sistemas empresariales no vienen de ataques sofisticados externos. Vienen de código mal escrito, validaciones faltantes, credenciales hardcodeadas en repositorios, APIs sin autenticación adecuada. El principio de Secure by Design — impulsado actualmente por CISA como estándar para proveedores tecnológicos que operan en infraestructura crítica — establece que la seguridad no es una capa que se añade al final del desarrollo. Es un requisito que se diseña desde el primer día, en cada función, en cada API, en cada endpoint. Se valida todo, no solo una parte, se protege activamente cada servicio/API, se limita, etc.

Privilegio mínimo en todo, sin excepciones. El principio de privilegio mínimo (Least Privilege) significa que cada usuario, cada sistema y cada proceso tiene acceso únicamente a lo que necesita para hacer su trabajo — nada más. No porque no se confíe en las personas, sino porque el alcance del daño posible se limita drásticamente cuando los accesos están calibrados. El director general no necesita acceso de escritura a la base de datos de producción. El sistema de nómina no necesita leer los expedientes de clientes. El proveedor de mantenimiento no necesita acceso permanente — necesita acceso temporal, acotado, registrado y revocable. Elige entre roles y atributos, pero haz algo.

El código inseguro no falla el día que se escribe. Falla meses después, en producción, con datos reales, cuando el costo de corregirlo es entre 10 y 100 veces mayor que haberlo escrito bien desde el principio. Eso no es un dato técnico. Es un dato financiero.

Observabilidad: no puedes defender lo que no puedes ver

Una de las razones por las que los atacantes permanecen dentro de los sistemas durante 258 días en promedio es que la mayoría de las empresas no tienen visibilidad real de lo que ocurre en su infraestructura. Tienen herramientas de monitoreo. Tienen logs. Tienen alertas. Pero no tienen la capacidad de correlacionar todo eso en tiempo real y detectar el patrón anómalo antes de que se convierta en crisis.

Observabilidad no es lo mismo que monitoreo. El monitoreo te dice qué pasó. La observabilidad te dice por qué pasó, dónde empezó y cómo se está propagando — en tiempo real, antes de que el daño sea completo. Incluye trazabilidad de todas las sesiones activas, correlación de comportamiento por usuario y dispositivo, alertas automáticas cuando un perfil de acceso se desvía del patrón habitual, y la capacidad de cerrar una sesión comprometida en segundos, no en días.

El NIST CSF 2.0 lo llama Detect — Detectar — y lo coloca como función crítica paralela a la protección. Porque una organización que solo protege pero no detecta está apostando a que nunca falle ningún control. Y esa apuesta, estadísticamente, ya la perdió.

Lo que la observabilidad real implica en la práctica: saber en este momento cuántas sesiones activas hay en tus sistemas, desde qué dispositivos, desde qué ubicaciones geográficas, y cuáles se comportan de forma diferente a su patrón histórico. Si no tienes esa respuesta disponible en menos de un minuto, no tienes observabilidad. Tienes logs.

El Excel con datos de clientes. El PDF de la propuesta comercial. La información que se regala.

Hay una categoría de riesgo de información que no aparece en ningún pentest, que no activa ninguna alerta de seguridad perimetral, y que en muchas organizaciones representa la mayor exposición real de datos sensibles: la información que sale por decisión humana, en formatos no controlados, sin ningún rastro.

El gerente comercial que exporta la base completa de clientes a un Excel para "trabajarla más fácil" desde casa. El director de finanzas que manda el estado de resultados por WhatsApp porque el correo corporativo "tarda mucho". El proveedor externo al que se le da acceso completo a la carpeta de Drive porque "necesita ver unos archivos". El consultor que se va con una copia de la base de datos de producción porque nadie formalizó qué datos podía llevarse.

Estos no son problemas de hackers. Son problemas de decisiones. Y son los más difíciles de controlar técnicamente porque no violan ningún sistema — son acciones autorizadas, tomadas por personas con acceso legítimo, que en ese momento no pensaron — o no les importó — el riesgo que estaban creando.

La información más valiosa de tu empresa no la roba un atacante sofisticado la mayoría de las veces. La regala alguien de adentro, en un archivo adjunto, sin mala intención y sin consecuencias visibles — hasta que las hay.

Las organizaciones serias resuelven esto con una combinación de política, tecnología y cultura: clasificación de información (no todos los datos tienen el mismo nivel de sensibilidad ni merecen las mismas restricciones), DLP —Data Loss Prevention— que detecta y bloquea transferencias no autorizadas de información sensible, y una cultura donde las personas entienden el valor de los datos que manejan, no como regla burocrática, sino como parte de su responsabilidad profesional.

El costo real de los falsos ahorros

Hay una conversación que ocurre en muchas juntas de presupuesto y que, vista desde afuera, es difícil de entender. La empresa decide no invertir en gestión de identidades centralizada porque "es caro". No contratar un CISO dedicado porque "TI puede cubrirlo". No implementar cifrado en los laptops del equipo directivo porque "eso complica el trabajo". No revisar los accesos de proveedores porque "es mucho proceso".

Esas decisiones tienen un costo calculable. No hipotético — calculable, con los datos que ya existen:

$4.88M

costo promedio de una brecha global 2024. El "ahorro" de no invertir en seguridad tiene precio de lista.

IBM 2024

$1.76M

costo adicional promedio cuando la brecha ocurre en organizaciones con escasez de personal de seguridad

IBM Cost of Data Breach 2024

$2.2M

ahorro promedio en costo de brecha para organizaciones que usan IA y automatización en seguridad

IBM 2024

100 días

más rápido detectan y contienen brechas las empresas con IA en seguridad vs las que no la tienen

IBM Cost of Data Breach 2024

La empresa que decidió no invertir $200,000 pesos en gestión de accesos centralizada tampoco contrató el proceso de revocación automática. El ex empleado del Caso 02 desvió 4.3 millones de pesos. La empresa que no cifró las laptops del equipo directivo ahorró quizás $50,000 pesos en licencias de software. El Caso 03 resultó en notificación al INAI u otra Entidad, investigación regulatoria, cobertura en medios y pérdida de contratos institucionales. No hay una forma honesta de calcular el "ahorro" sin ponerlo junto al costo de lo que evitó.

Lo más costoso en seguridad no es la inversión en los controles correctos. Es la ausencia de ellos en el momento equivocado.

Lo que un director puede pedir mañana — sin saber nada de tecnología

No hace falta entender cómo funciona un token de sesión para hacer las preguntas correctas. Estas preguntas, hechas en la próxima junta con TI, con el CISO o con el proveedor de seguridad, cambian la conversación de operativa a estratégica:

1

¿Tenemos una lista actualizada de quién tiene acceso a qué sistema — y desde qué equipos? Si no existe o no está al día, es el primer problema. Esa lista es el inventario de riesgo más básico que existe.

2

¿Qué pasa realmente con los accesos cuando alguien se va? No el proceso en papel — el proceso real. ¿Cuánto tarda? ¿En todos los sistemas? ¿Quién lo verifica? Pide el registro del último caso.

3

¿Los datos en nuestros servidores y laptops están cifrados — no solo cuando viajan, sino cuando están guardados? Si la respuesta es "no sé", la respuesta es no.

4

¿Cuántas sesiones activas hay en este momento en nuestros sistemas, y hay alguna que debería haberse cerrado? Si ese reporte tarda más de un día en producirse, no hay observabilidad real.

5

¿Los equipos personales del equipo directivo tienen los mismos controles que las laptops corporativas? Si no, los ejecutivos con mayor acceso son el mayor riesgo. Siempre.

6

¿Hay un proceso para detectar cuando alguien exporta información sensible — una base de clientes, un archivo financiero — fuera de los sistemas controlados? Si la respuesta es no, la información ya está saliendo.

7

¿El riesgo operacional tecnológico está en nuestra matriz de riesgo, con responsable, con métrica y con plan de respuesta? Si no está en la matriz, no existe para el consejo — aunque exista en la realidad.

Una última cosa

En más de veinte años construyendo y asegurando plataformas en sectores regulados — fintech con aprobación CNBV, salud con COFEPRIS, energía con ASEA, aviación, etc — he visto este patrón repetirse con una consistencia que ya no me sorprende, pero que sigue costando caro cada vez.

La empresa que invirtió en el pentest y pensó que con eso alcanzaba. El consejo que aprobó la política de seguridad sin saber que sus propias laptops eran el punto débil. El director que confundió "cumplir con el estándar" con "estar protegido". El proveedor que vendió la herramienta correcta sin decirle al cliente que la herramienta sola no resuelve el problema de comportamiento. El ejecutivo que decidió no contratar al CISO porque "TI puede hacerlo" — y que tres años después estuvo sentado frente al regulador explicando por qué los datos de sus clientes estaban en un foro de la dark web.

Y he visto lo contrario también. Las organizaciones donde alguien tomó la decisión de construir la seguridad como arquitectura, no como parche. Donde el CISO tiene acceso al consejo y presupuesto real. Donde el desarrollo seguro es un requisito, no una aspiración. Donde los datos se tratan como el activo que son — con clasificación, con controles, con rendición de cuentas.

Esas organizaciones no son inmunes. Pero cuando ocurre un incidente, lo detectan en días, no en meses. Lo contienen antes de que sea crisis. Y tienen el plan de respuesta listo — porque sabían que tarde o temprano lo necesitarían.

Zero Trust no es cara. No es complicada en su esencia. Requiere hacer las preguntas correctas con la honestidad suficiente para aceptar que las respuestas actuales no son suficientes. Eso sí requiere algo que ninguna herramienta puede vender: la decisión de que la seguridad es un tema del negocio — y que empieza en el consejo.

Para compartir

"Tu empresa puso contraseña, puso MFA, pasó el pentest. El atacante entró igual — con las llaves de alguien que ya había entrado. No rompió nada. Solo esperó. Y tardaste 8 meses en darte cuenta." — JMCoach

Fuentes · IBM Cost of a Data Breach Report 2024 — costo promedio global $4.88M USD (+10% vs 2023, récord histórico); tiempo promedio identificar y contener brecha: 258 días; brechas por credenciales robadas: 292 días; escasez de personal de seguridad añade $1.76M al costo; IA y automatización reducen costo en $2.2M y aceleran detección 100 días · Verizon Data Breach Investigations Report (DBIR) 2025 — análisis de más de 20,000 incidentes; 60% de brechas con elemento humano; credenciales robadas en 22% como vector inicial; 88% de ataques a apps web con credenciales robadas; ransomware en 44% de brechas; 2,800 millones de contraseñas en foros criminales en 2024; 46% de dispositivos no administrados contienen credenciales corporativas · Verizon DBIR 2026 (publicado mayo 2026) — vulnerabilidades de software superan a contraseñas robadas como vector de acceso inicial en 2025 · NIST Cybersecurity Framework (CSF) 2.0, febrero 2024 — primera actualización mayor desde 2014; nueva función Govern como primer pilar; integración explícita de Zero Trust, privilegio mínimo, cifrado en reposo y en uso, protección de datos en tránsito y en reposo · nist.gov/cyberframework · NIST Special Publication 800-207 — Zero Trust Architecture (ZTA): verificación continua, privilegio mínimo, micro-segmentación, cifrado de todas las comunicaciones · CISA Zero Trust Maturity Model 2.0 (2023) — 5 pilares: Identidad, Dispositivos, Redes, Aplicaciones y Cargas de Trabajo, Datos + 3 capacidades transversales: Visibilidad y Analítica, Automatización y Orquestación, Gobernanza · cisa.gov/zero-trust · CISA Secure by Design (2024) — principios de desarrollo seguro para proveedores de software en infraestructura crítica; eliminar categorías enteras de vulnerabilidades por diseño · ISO 31000:2018 — gestión de riesgo operacional; matriz de riesgo como responsabilidad del consejo · ISO 27001:2022 — sistema de gestión de seguridad de la información; controles de acceso, cifrado, gestión de activos, continuidad · CNBV — Disposiciones de Carácter General aplicables a Instituciones de Crédito (Circular Única de Bancos); responsabilidad del consejo en riesgo tecnológico y operacional · INAI — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP); obligación de notificación de brechas; sanciones por exposición no autorizada · Infografía de referencia: @CycuraMX — "Una contraseña no garantiza un equipo seguro".

Si tu organización necesita traducir la seguridad tecnológica a decisiones de negocio — o construir la arquitectura correcta en un entorno regulado — la conversación vale la pena.

The How Maker · #JMCoach
Riesgo Operacional · Seguridad por Diseño · Zero Trust · Arquitectura en Sectores Regulados · Fintech · Salud · Energía · Gobierno · Asesoría Ejecutiva y de Consejo

mxjormer@gmail.com  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com  ·  @JormerMx

El ingeniero mexicano puede. El sistema no lo deja. Y eso...

 

El ingeniero mexicano puede. El sistema no lo deja. Y eso nos cuesta a todos.

No es un problema de talento. Nunca lo fue. Es un problema de desconexión — entre lo que los ingenieros mexicanos son capaces de hacer y lo que el entorno económico, político y empresarial les permite construir. Esa brecha no es solo individual. Es nacional. Y se paga muy caro. Tiempo de reflexionar y retomar el potencial una vez nos caiga el veinte y se impulse una nueva era de desarrollo integral en beneficio de todas las partes. Puede sonar polémico, pero ya era tiempo de hacer una pausa y ver dónde estamos parados para replantear algo mejor en común.

JM

JMCoach · #TheHowMaker

 

El ingeniero mexicano lleva décadas resolviendo problemas reales en condiciones que muchos entornos del primer mundo nunca tendrían que enfrentar. Esa capacidad de adaptación, de creatividad bajo restricción, de resolver sin manual — es exactamente lo que el mercado global está pagando. Y lo que México sigue subvaluando.

El ingeniero mexicano diagnostica el problema antes de que termines de explicarlo.
Construye la solución con la mitad de los recursos.
La entrega funcionando antes del plazo.

Y después acepta el sueldo que le ofrecen porque "así es el mercado".
Eso no es humildad. Es el costo de un sistema que nunca conectó capacidad con valor.

Esta no es una historia de victimización. Es una historia de desconexión — y las desconexiones tienen consecuencias que van mucho más allá del ingeniero individual que cobra de menos o del proyecto que no se construyó. Cuando un país separa sistemáticamente su capacidad técnica de sus condiciones de desarrollo, el costo no aparece en ninguna línea de presupuesto. Aparece como tecnología importada que debió construirse aquí. Como sectores estratégicos que dependen de soluciones diseñadas para otros contextos, por personas que nunca pisaron este país. Y aparece, sobre todo, en generaciones de ingenieros que aprendieron a aspirar menos — no porque no pudieran más, sino porque el entorno les enseñó repetidamente que más no era para ellos.

De qué estamos hablando cuando hablamos de capacidad

Hay una diferencia entre saber ejecutar una especificación técnica y saber resolver un problema real. La primera se enseña en seis meses. La segunda distingue al ingeniero que entrega valor del que entrega código.

El ingeniero mexicano — formado en entornos de recursos limitados, en organizaciones con estructuras irregulares, en proyectos donde el requerimiento cambia en el camino — desarrolla algo que los mercados del primer mundo llevan años intentando enseñar con metodologías: la capacidad de pensar en el problema real, no en el problema descrito. De improvisar con criterio. De construir algo que funcione en el mundo tal como es. Las empresas extranjeras que han trabajado con talento técnico mexicano en contextos de verdadera complejidad lo reportan consistentemente: el ingeniero mexicano no espera que le digan exactamente qué hacer. Entiende el contexto. Propone. Adapta. Entrega.

Eso no es folklore. Es una ventaja competitiva con precio en el mercado global. El problema es que ese precio no lo cobra México — lo cobran otros.

Los números que ilustran la brecha

Para ver la magnitud de la desconexión, hay que ver los sueldos en contexto internacional real — no el promedio de una empresa de nómina que quiere atraer clientes nearshore, sino el rango verificado con datos de Q4 2025 a Q1 2026.

Desarrollador senior · EUA (USD bruto/año)

$147K

salario promedio de un ingeniero de software en EUA en 2026 según ZipRecruiter. BLS reporta mediana de $132,270. Top 10%: más de $208,620. El techo no existe.

ZipRecruiter 2026 · BLS OEWS May 2025

Desarrollador senior · Alemania (EUR bruto/año)

€74K

salario promedio de un ingeniero de software en Alemania en 2026 (~$80K USD). Mediana nacional todas las profesiones: €54,066. El ingeniero alemán gana 37% más que la media de su país.

Ravio Compensation Trends 2026 · Glassdoor Alemania marzo 2026

Desarrollador senior · nearshoring México (USD/año)

$66–90K

rango verificado para senior software engineer trabajando para empresa extranjera desde México (Q4 2025–Q1 2026). Junior: $24–42K. Mid: $42–66K. Promedio reportado: ~$69K.

Howdy Benchmarks 2026 · Alcor / CodersLink Tech Salaries 2026 · n=10,246

Desarrollador · empresa doméstica México (USD/año)

$27–40K

rango real para ingenieros en empresas mexicanas locales. Glassdoor reporta mediana de $27,167/año. Salario promedio tech doméstico: ~$40K. Salario promedio nacional todos sectores: ~$11K.

Glassdoor México 2026 · GoFasti / Multiplier 2025–2026 · INEGI ENOE 2026

Desarrollador · India (USD/año)

$7–35K

entry-level en India: $7,725–$12,000/año. Mid-level: $15,000–$35,000. Senior en multinacional: hasta $50K. El modelo indio funciona en volumen, no en valor unitario del ingeniero.

Gini Talent Global Salary Guide 2025 · WhatIsTheSalary.com 2026

Ahorro del empleador extranjero al contratar en México

40–60%

versus contratar el mismo perfil en EUA. Un equipo equivalente al de EUA costaría $3 millones/año en salarios; el mismo equipo en México: $1 millón. El ahorro financia el producto — pero no se queda en México.

CodersLink 2026 · Howdy 2026 · Multiplier 2026

El patrón que emerge de estos datos es preciso: el ingeniero mexicano vale entre el 45% y el 60% de lo que vale un ingeniero equivalente en EUA o Alemania — pero su costo de vida en México es aproximadamente el 35% del de esas ciudades. Eso significa que en términos de poder adquisitivo real, la brecha es menor de lo que parece en dólares brutos. Pero en términos de lo que las empresas mexicanas pueden ofrecer frente a lo que ofrece el mercado nearshore — la brecha es estructural, creciente y difícil de cerrar sin cambios deliberados en cómo se valora y se remunera el trabajo técnico en el mercado doméstico.

Lo que el nearshoring hizo — y lo que no hizo

La narrativa del nearshoring de 2022 y 2023 fue embriagadora. México iba a convertirse en el hub tecnológico de América del Norte. Las empresas que relocalaban cadenas de suministro desde Asia llegarían con inversión, transferencia de tecnología y empleos bien pagados. El T-MEC era la base legal. La proximidad, los husos horarios, el talento disponible — todas ventajas reales. La promesa era genuina.

La infraestructura para el nearshoring existe. Los anuncios de inversión fueron reales. Las condiciones estructurales para convertir esos anuncios en transferencia tecnológica sostenida — esas todavía se están construyendo.

Lo que en realidad ocurrió es más complicado. Los anuncios de nueva inversión en México cayeron aproximadamente 75% en los primeros ocho meses de 2024 en comparación con el mismo periodo de 2023, según datos de Deloitte reportados por la International Bar Association. Barreras estructurales — incertidumbre en el estado de derecho, política energética, reformas judiciales y el renovado entorno arancelario con la administración Trump — frenaron la traducción de la promesa en infraestructura industrial permanente. México se convirtió en el principal socio comercial de EUA durante nueve meses consecutivos, alcanzando 72,500 millones de dólares en comercio bilateral solo en septiembre de 2024. Pero la transferencia de tecnología y la creación de empleos de alto valor que habrían multiplicado el talento fueron más selectivas y más frágiles de lo que los titulares sugerían.

El nearshoring sí hizo algo muy eficazmente: creó un mercado laboral bifurcado. Los ingenieros que trabajan para operaciones de nearshoring orientadas a EUA ganan significativamente más que los que trabajan en empresas domésticas. Esa brecha salarial es ahora un mecanismo de drenaje de talento que opera dentro del propio país. Las empresas mexicanas domésticas — incluyendo las que están construyendo productos reales para usuarios mexicanos, resolviendo problemas mexicanos, con conocimiento regulatorio mexicano — pierden a sus mejores ingenieros ante firmas que les pagan para resolver los problemas de alguien más, a tasas de descuento respecto a lo que pagaría una empresa estadounidense, pero a tasas de prima respecto a lo que una empresa mexicana puede ofrecer.

El nearshoring tomó a los mejores ingenieros de México y los convirtió en estadounidenses más baratos. Eso no es lo mismo que construir el sector tecnológico de México.

El teatro de la innovación

Aquí está la parte de la historia que es más difícil de decir en voz alta en los espacios donde se toman decisiones: el ecosistema de startups de México, con toda su energía y su capital, ha producido más narrativa que tecnología duradera. Esto no es un desprecio a los emprendedores reales que construyen empresas reales. Es una observación sobre la estructura de incentivos del ecosistema que los rodea.

1,460

startups activas en México a inicios de 2026 — segundo en América Latina por capital de riesgo captado

TheStartupVC · 2026

$1.8B

capital de riesgo captado por startups mexicanas en 2025 — un incremento del 53% respecto a 2024

TheStartupVC · Mexico Startup Overview 2026

50%

de su plantilla recortó Kavak — el unicornio emblemático de México — entre finales de 2022 e inicios de 2023

Reuters · Expansión México · KiTalent 2026

40%

del capital de riesgo total en México va a fintech — un solo sector acaparando casi la mitad del dinero disponible

TheStartupVC · Mexico Startup Overview 2026

El patrón que se repite en los ecosistemas de startups latinoamericanos — y México no es inmune — es la construcción de narrativas de valuación alrededor de métricas de crecimiento que ocultan la ausencia de modelos de negocio duraderos. Empresas financiadas por capital de riesgo levantan rondas a múltiplos agresivos sobre ingresos que son comprados y no ganados, construyen equipos a una velocidad insostenible y luego comprimen la plantilla cuando cambia la conversación sobre los múltiplos. Los ingenieros despedidos en esas correcciones son personas reales que pasaron dos o tres años de su carrera construyendo infraestructura para una empresa cuyo producto principal era su propia historia de levantamiento de capital.

Los ingenieros no son el problema. Son el activo más valioso del sistema y el elemento más desechable en el cálculo de cómo se asigna el capital. Cuando una startup "construye" un producto ensamblando un equipo rápidamente, levantando dinero sobre proyecciones y recortando agresivamente cuando las proyecciones no se materializan — los ingenieros absorben la volatilidad en ambos extremos. Se contratan con entusiasmo y se liberan sin ceremonia. Los fundadores levantan de nuevo. El ciclo continúa.

México no tiene un problema de talento en ingeniería.
Tiene un problema de utilización del talento.
Y eso es algo completamente diferente — y resoluble.

El impuesto del amiguismo a la innovación

Hay una conversación que sucede en casi toda organización mexicana que cualquier líder de tecnología honesto ha tenido al menos una vez. Aquella en la que la decisión sobre qué proveedor usar, qué arquitectura elegir o a quién promover ya estaba tomada antes de que comenzara la reunión — por una relación, una conexión familiar, un favor anterior o el miedo a alguien que se sentiría amenazado si el mérito genuino ascendiera a la superficie.

Esto no es un problema exclusivamente mexicano. Existe en todas las economías y en todas las culturas corporativas en distintos grados. Pero en el sector tecnológico de México, donde la brecha entre lo que las personas podrían construir y lo que se les permite construir ya es amplia, el impuesto del amiguismo a la innovación es particularmente caro. Mantiene soluciones mediocres vigentes porque la persona que las construyó tiene las relaciones correctas. Mantiene a ingenieros talentosos fuera de roles de decisión porque esos roles se asignan a través de redes, no por capacidad. Mantiene a las organizaciones dependientes de proveedores heredados y arquitecturas obsoletas porque cambiarlos requeriría admitir que las decisiones pasadas fueron equivocadas — y esas decisiones las tomaron personas que aún tienen poder.

El resultado: México importa software empresarial, infraestructura en la nube y sistemas ERP de compañías cuyas bases intelectuales fueron construidas por ingenieros que en muchos casos no son más capaces que los ingenieros mexicanos sentados en la misma reunión, ganando una fracción del precio, sin la autoridad para proponer la alternativa que ya saben que es mejor.

La brecha del inglés que nadie quiere nombrar

La puntuación de México en el Índice de Proficiencia en Inglés de EF cayó 19 puntos en la edición más reciente, colocando al país en el lugar 103 a nivel mundial. Este número llega en el peor momento posible — cuando el nearshoring, el trabajo remoto y la colaboración tecnológica global han convertido el inglés no solo en una ventaja profesional sino en un requisito práctico para acceder a los mercados donde el talento se compensa de forma justa.

Los estados más afectados son los que más lo necesitan: Coahuila, Tamaulipas, Baja California, Chihuahua — el cinturón manufacturero del norte donde han llegado miles de millones en inversión extranjera y donde el trabajo diario requiere interacción constante con socios internacionales. Los trabajadores en esas instalaciones, muchos de los cuales hacen trabajo técnicamente complejo, lo hacen con brechas de comunicación que ralentizan todo y crean dependencia en los pocos intermediarios bilingües que se vuelven indispensables precisamente por una brecha de idioma que debió haberse cerrado hace una generación.

El inglés no es una habilidad de lujo. Es infraestructura profesional. Y Mexico lleva décadas difiriéndola como si el costo de no invertir fuera invisible.

Este es un problema de infraestructura, no individual. Requiere inversión en educación de inglés a escala — desde la primaria, sostenida en secundaria y preparatoria, con rendición de cuentas sobre resultados — en universidades, en escuelas técnicas, en programas de formación corporativa y en el desarrollo del empleado público. El retorno no es difícil de calcular. La inversión sigue postergándose de todas formas.

Por qué México es mejor que India — y no lo sabe

La comparación con India aparece constantemente en las conversaciones de nearshoring, casi siempre como referencia de costos. India tiene un mayor número de desarrolladores angloparlantes. India lleva más tiempo en el negocio del outsourcing. India tiene infraestructura de entrega establecida y firmas reconocidas globalmente.

Lo que India no tiene — y México sí, de forma distintiva y valiosa — es la capacidad de pensar fuera del marco procedimental. El modelo de outsourcing tecnológico de India es, en su núcleo, un modelo de volumen y proceso: equipos grandes ejecutando especificaciones bien definidas a escala. Es eficiente en lo que hace. Para lo que estructuralmente es menos adecuado es para la resolución de problemas desordenados, ambiguos y no lineales que requiere el desarrollo real de productos — el tipo donde la especificación está equivocada, el requerimiento es poco claro, la necesidad real del usuario es diferente a lo que se pidió y alguien tiene que usar criterio para navegar la brecha.

El instinto del ingeniero mexicano es resolver el problema real, no solo ejecutar la especificación. Esa es una cualidad escasa y valiosa — y está sistemáticamente subvaluada.

Los ingenieros mexicanos, por cultura, por filosofía educativa y por la experiencia práctica de construir cosas en entornos de recursos limitados, tienden a ser solucionadores naturales de problemas más que ejecutores de especificaciones. Están acostumbrados a trabajar con información incompleta, a improvisar bajo restricciones y a producir soluciones que realmente funcionan en el entorno para el que fueron construidas — no solo en las condiciones limpias del servidor de desarrollo. Esto no es mitología romántica. Es un patrón visible para cualquiera que haya trabajado con ambas fuentes de talento en entornos de producción reales.

El ingeniero mexicano no es más barato que el ingeniero indio porque sea peor. En la mayoría de los contextos prácticos, complejos y creativos, el ingeniero mexicano produce mejores resultados. El ingeniero mexicano es más barato porque México aún no ha construido el ecosistema — las habilidades de idioma, el posicionamiento global, la reputación institucional, la confianza en el precio — para cobrar lo que el trabajo realmente vale.

Siempre imitado, nunca igualado. El talento de ingeniería de México ha sido copiado por quienes vieron su valor sin entender su origen — y ese origen es una inteligencia creativa que no se puede replicar a escala con ningún modelo centrado en procesos.

Una desconexión que afecta todo — no solo la tecnología

Este no es un problema del sector tecnológico. Es un problema estructural que se refleja en la economía, en la política y en la capacidad institucional del país para resolver sus propios problemas.

Cuando el talento técnico no se convierte en innovación propia, México no acumula propiedad intelectual. Sin propiedad intelectual no hay empresas de alto valor. Sin empresas de alto valor no crece la clase media técnica. Sin esa clase media el mercado doméstico de soluciones complejas no madura. Y el ciclo se cierra: los ingenieros que podrían romperlo se van o se resignan.

El impacto político es igual de concreto. Las decisiones de infraestructura pública — sistemas de salud, plataformas de gobierno, pagos, aduanas, energía — se toman frecuentemente sin la participación real de los ingenieros que entienden tanto el problema técnico como el contexto institucional mexicano. El resultado son sistemas que no funcionan, licitaciones que se ganan por precio y relación política más que por capacidad, y dependencia tecnológica en sectores donde México debería tener soberanía.

No es casualidad que mientras el sector privado construía plataformas fintech aprobadas por CNBV, con IA en producción, cumpliendo estándares internacionales — en plazos que el sector público juzgaría imposibles — la transformación digital del gobierno siguiera siendo una promesa con fecha de entrega indefinida. La diferencia no es de presupuesto. Es de conexión entre capacidad técnica y autoridad para decidir.

Un país que no conecta su talento técnico con sus problemas reales importa las soluciones que debería haber construido — y exporta la inteligencia que debería haberse quedado.

La generación que se está perdiendo ahora mismo

Cada año que este sistema continúa como está, una generación de jóvenes mexicanos con talento técnico genuino toma una de tres decisiones. Acepta un sueldo doméstico que no refleja el valor de sus habilidades y poco a poco deja de crecer porque el entorno no recompensa el crecimiento. Encuentra una posición de nearshoring o remota que paga mejor pero dirige sus habilidades hacia la hoja de ruta de producto de alguien más, sin inversión en su desarrollo a largo plazo ni en la capacidad tecnológica de México. O se va — a Estados Unidos, a Canadá, a España — no porque México no tenga nada que ofrecer, sino porque las instituciones mexicanas aún no han encontrado cómo ofrecerles lo que su talento merece.

Ninguno de estos tres caminos construye el sector tecnológico de México. El primero produce talento subutilizado dentro de empresas mexicanas. El segundo produce talento bien compensado que está intelectualmente exportado aunque físicamente presente. El tercero es la fuga de cerebros clásica que ha drenado generaciones de potencial en las economías más talentosas de América Latina.

El costo de esto no es medible en el PIB de un solo año. Es medible en las tecnologías que México no construyó, las empresas que nunca se fundaron, las soluciones que nunca se convirtieron en producto, la propiedad intelectual que nunca se registró y los jóvenes ingenieros que hicieron las paces con un techo que nunca deberían haber recibido.

Los ingenieros están ahí. La inteligencia está ahí. La creatividad está ahí.
Lo que falta es la decisión de construir las condiciones que la dejen multiplicarse.

Qué cambiaría realmente esto

Este no es un panorama sin salida. Es un panorama honesto — y los panoramas honestos son más útiles que los optimistas que evitan las causas. Las condiciones que cambiarían la trayectoria no son un misterio. Están documentadas, son alcanzables y en algunos casos ya se están demostrando en los bolsillos de la economía mexicana donde se han alineado suficientes variables.

Las empresas que pagan a sus ingenieros lo que el mercado realmente los valora — no lo que el precedente doméstico dice que es aceptable — retienen talento, construyen mejores productos y generan más valor económico que el costo de compensación que ahorraron pagando de menos. Este no es un argumento de generosidad. Es un argumento de productividad y retención con veinte años de datos detrás en todos los mercados tecnológicos que lo han intentado.

Las organizaciones que promueven con base en capacidad en lugar de antigüedad y redes de relaciones se mueven más rápido, construyen mejor y atraen mejores personas. Esto requiere desmantelar activamente los mecanismos que protegen el bajo desempeño mediante la conexión — lo cual es incómodo, por eso rara vez se hace, y es exactamente por eso que las empresas que lo hacen crean una ventaja competitiva tan visible.

Las startups que construyen para resolver problemas reales — en salud, en logística, en agricultura, en acceso financiero, en cumplimiento regulatorio — con disciplina genuina de producto y modelos de negocio honestos, crean empleo más duradero y valor más duradero que las que construyen para levantar la siguiente ronda. México tiene suficientes problemas reales para sostener una economía de innovación genuina durante una generación. Lo que necesita es más capital dispuesto a ser paciente con soluciones reales y menos capital recompensando la actuación del teatro de innovación.

Y el inglés. Sistemáticamente. En serio. No como una ventaja premium que se auto-selecciona hacia las familias con más recursos, sino como una inversión básica de infraestructura profesional hecha a nivel institucional, en universidades, en escuelas técnicas, en programas de capacitación corporativa y en el desarrollo del empleado público. El retorno no es complicado de calcular. La inversión sigue difiriéndose de todas formas.

Una última cosa

En más de veinte años de transformaciones reales — en fintech, salud, gobierno, energía, aviación, farmacéutica — he visto este patrón con una consistencia que ya no me sorprende, pero que sigue costándome algo cada vez que lo veo.

El ingeniero que lleva cuatro años en una empresa donde nadie actúa sobre sus recomendaciones — no porque estén equivocadas, sino porque no vienen de la persona correcta. Que aprendió a no proponer demasiado porque la última vez, el director se lo atribuyó en la junta. Que a los 31 acepta el trabajo remoto para una empresa en Denver porque paga tres veces más y nadie le pregunta quién es su papá.

La ingeniera que construyó sola, en seis meses, la plataforma que un proveedor externo cotizó en dos años y cuatro millones de pesos. Que recibió un bono de tres mil pesos. Que al año siguiente encontró en el nearshoring que su trabajo valía exactamente lo que el proveedor había cobrado — solo que pagado a ella.

El equipo que diseñó la integración más elegante que la empresa había visto en veinte años — que nunca se documentó porque el director no quería que nadie supiera que no la había inventado él.

Estas no son excepciones. Son el patrón. Y tiene consecuencias que trascienden cada historia individual.

He visto también lo contrario. Los proyectos donde alguien tomó la decisión correcta: autoridad real, recursos suficientes, espacio para construir bien. Lo que producen esos equipos no se puede comprar afuera. No existe en ningún catálogo de proveedor. Existe porque alguien decidió confiar en el talento que ya tenía — y no buscó otro.

México tiene ese talento. La pregunta ya no es si el ingeniero mexicano puede. La pregunta es cuánto más tiempo vamos a desperdiciar antes de decidir qué hacemos con él.

Para compartir

"El ingeniero mexicano resolvió el problema, entregó en tiempo, cobró lo que el 'mercado local' dicta. Ese no es un problema de talento. Es un problema de lo que decidimos hacer con él — y ese costo lo pagamos todos." — JMCoach

Fuentes · ANUIES / SEP — 855,731 ingenieros egresados acumulados a 2022; ~130,000 anuales (Mexecution; CodersLink 2026; Alcor 2026) · OCDE Education at a Glance 2024 — Alemania ~100,000 egresados de ingeniería anuales · QS World University Rankings 2026 — Tec de Monterrey lugar 187 mundial, lugar 4 América Latina; UNAM salió del top 100 en ranking general pero se mantiene en top 70 en Ingeniería y Tecnología · QS World University Rankings by Subject 2025 — Tec de Monterrey lugar 58 mundial en Engineering & Technology (78.6 pts); UNAM lugar 69 (77.7 pts) · Tec lugar 35 en Ciencias Sociales; UNAM lugar 32 · TecScience / QS LATAM 2026 — Tec Monterrey 4° LATAM, reputación empleadores 4° regional, red internacional investigación +7 posiciones · ZipRecruiter 2026 — salario promedio ingeniero software EUA $147,524/año · BLS OEWS May 2025 — mediana desarrolladores software EUA $132,270; top 10% $208,620+ · Ravio Compensation Trends 2026 — Alemania salario promedio software engineer €74,100 (+1.9% vs 2024) · Glassdoor Alemania marzo 2026 (17,888 salarios reportados) — promedio €68,500–€82,957 · Destatis 2025 — mediana salarial Alemania todos sectores €54,066 · CodersLink Mexico Tech Salaries Report 2026 (n=10,246) — senior fullstack México $5,700/mes; EUA $11,600/mes · Howdy Mexico Software Engineer Benchmarks 2026 — junior $24–42K; mid $42–66K; senior $66–90K (Q4 2025–Q1 2026) · Alcor 2026 — senior tech developer promedio $69K/año México vs $125K EUA · Glassdoor México 2026 — mediana engineer $27,167/año · GoFasti / Multiplier 2025–2026 — salario tech promedio México ~$40,050/año · INEGI ENOE 2026 — salario promedio nacional ~$16,500 MXN/mes (~$917 USD / ~$11,000 USD/año) · Gini Talent Global Software Engineer Salary Guide 2025 — India junior $7,725–$12,000; mid $15–35K · TheStartupVC Mexico Overview 2026 — 1,460 startups activas; $1.8B capital de riesgo 2025; 40% fintech · KiTalent Mexico City Tech Talent Analysis marzo 2026 — Kavak 50% reducción de plantilla 2022–2023 · IBA / Deloitte 2024 — caída del 75% en anuncios de inversión México ene–ago 2024 vs 2023 · EF English Proficiency Index 2024 — México lugar 103 mundial, caída de 19 puntos · Mexico Business News — "Mexico's English Gap: A Strategic Threat to Nearshoring Success" · febrero 2026.

Si tu organización está lidiando con la brecha entre el talento disponible y las condiciones que le permiten producir resultados reales — en tecnología, en transformación, en industrias reguladas — vale la pena la conversación.

The How Maker · #JMCoach
Transformación Digital · Desempeño de Equipos · Estrategia de Tecnología · Industrias Reguladas · IA y Plataformas de Datos · Asesoría Ejecutiva y de Consejo · México y LATAM

mxjormer@gmail.com  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com  ·  @JormerMx