Filtraron tu contraseña. La cambias.
Filtraron tu número de tarjeta. El banco te da otra.
Filtraron tu correo electrónico. Migras a uno nuevo.
Filtraron tu CURP alfanumérica. Molestas, pero el daño se contiene.
Filtraron tu cara.
¿Ahora qué?
Esa pregunta — esas dos palabras, «ahora qué» — es el centro de gravedad de toda la discusión sobre la CURP biométrica. Es la pregunta que debería estar en la primera página de cada análisis de riesgo. Es la pregunta que debería hacerse cada legislador antes de votar. Es la pregunta que debería responder cada funcionario que promueve el registro biométrico masivo. Es la pregunta que nadie está haciendo.
Porque no tiene respuesta.
No hay «ahora qué.» No hay plan B. No hay reset. No hay «emitimos una nueva.» No hay mitigación. No hay remediación. No hay absolutamente nada que el Estado, la industria, la tecnología o la ciencia puedan hacer para revertir la filtración de tus datos biométricos.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. He respondido a filtraciones de datos. He analizado sus consecuencias. He asesorado a víctimas. He documentado los daños. Y en todos esos años, en todos esos casos, en todas esas filtraciones, siempre había una respuesta. Siempre había un mecanismo de remediación. Cambias la contraseña. Rotas la llave. Emites un nuevo certificado. Cancelas la tarjeta. Actualizas el token. Reseteas.
Con la biometría, el concepto mismo de reseteo deja de existir. Y cuando el reseteo deja de existir, la ciberseguridad como la conocemos se rompe.
Este es el cuarto y último artículo de esta serie sobre la CURP biométrica. En el primero presenté el argumento oficial. En el segundo documenté por qué la filtración es inevitable. En el tercero exploré el vacío entre la ley y la ventanilla. En este voy a llegar al punto que los tres anteriores estaban construyendo: la irrevocabilidad biométrica y por qué convierte a la CURP biométrica en el riesgo más grave que México ha asumido en materia de privacidad y seguridad.
El principio de remediación: la piedra angular que la biometría destruye
En ciberseguridad existe un principio fundamental que subyace a toda la arquitectura de protección de datos: la capacidad de remediación. Cuando un dato se compromete, debe existir un mecanismo para reemplazarlo, revocarlo o invalidarlo, de forma que el dato comprometido pierda su utilidad para el atacante.
Este principio no es opcional. No es un «nice to have.» Es la base sobre la que se construye toda la confianza en los sistemas digitales.
Piensa en cómo funciona cada sistema de seguridad que usas:
Contraseñas. Si alguien descubre tu contraseña, la cambias. La contraseña anterior deja de funcionar. El atacante que la tiene ya no puede usarla. La remediación es completa e inmediata.
Tarjetas bancarias. Si tu número de tarjeta se filtra, el banco cancela esa tarjeta y te emite una nueva con un número diferente. El número anterior queda invalidado. Las transacciones con el número comprometido son rechazadas. La remediación es completa.
Certificados digitales. Si una llave privada se compromete, el certificado se revoca y se emite uno nuevo. Los sistemas que verifican la autenticidad consultan la lista de revocación y rechazan el certificado comprometido. La remediación es completa.
Tokens de autenticación. Si un token se roba, se invalida y se genera uno nuevo. El token robado deja de tener valor. La remediación es completa.
En cada caso, el patrón es el mismo: el dato comprometido se reemplaza por uno nuevo, y el anterior se invalida. El atacante se queda con un dato inútil. El sistema se restaura. La seguridad se restablece.
Ahora aplica ese patrón a la biometría.
Tu huella dactilar se filtra. La reemplazas por… ¿qué? No puedes reemplazarla. No puedes generar una huella nueva. No puedes ir al registro civil y pedir que te asignen dedos diferentes. No puedes revocar tu huella anterior como revocas un certificado. No puedes invalidarla como invalidas una tarjeta. No puedes cambiarla como cambias una contraseña.
Tu huella es tu huella. Hoy, mañana, en 10 años, en 50 años. La misma huella que se filtró es la misma huella que usas para desbloquear tu celular, para entrar a tu oficina, para verificar tu identidad en el banco, para todo.
El principio de remediación no aplica. No hay mecanismo de reemplazo. No hay revocación posible. No hay reset.
Y cuando el principio de remediación deja de aplicar, todo el modelo de seguridad basado en biometría se derrumba. Porque el modelo asume que el dato biométrico es secreto. Que solo tú tienes tu huella. Que solo tú tienes tu cara en formato digital. Que la biometría funciona como autenticación porque es algo que solo tú puedes presentar.
En el momento en que otra persona tiene tu dato biométrico, esa premisa muere. Y con ella, todo el sistema que depende de esa premisa.
Empresario que usa biometría para control de acceso en tu empresa y que me lee: tu sistema de huella digital para entrar al edificio funciona bajo la premisa de que la huella registrada pertenece exclusivamente al empleado. Si los datos biométricos de tus empleados se filtran junto con los de 130 millones de mexicanos, un atacante puede replicar la huella de cualquiera de tus empleados. Tu sistema de acceso ya no verifica identidad — verifica posesión de un dato que ya no es exclusivo. Tu seguridad biométrica dejó de ser seguridad.
Biometría no es un NIP. No es una contraseña. No es un token.
Necesito que esta distinción quede grabada en la conciencia de quien me lee porque es la distinción más importante de toda esta serie.
Los mecanismos de autenticación se clasifican en tres categorías:
Algo que sabes. Una contraseña. Un NIP. Una respuesta secreta. Si se compromete, lo cambias.
Algo que tienes. Una tarjeta. Un token físico. Un celular con una app de autenticación. Si se compromete, lo reemplazas.
Algo que eres. Tu huella. Tu rostro. Tu iris. Tu voz. Si se compromete…
Ahí se detiene la lógica. Porque no hay verbo. No hay acción. No hay mecanismo. El «si se compromete» de la biometría no tiene complemento.
Cuando la industria de seguridad incorporó la biometría como factor de autenticación, lo hizo bajo una premisa implícita que nadie cuestionó lo suficiente: que los datos biométricos se mantendrían secretos. Que la captura biométrica estaría protegida. Que la base de datos donde se almacenaban sería inexpugnable. Que nunca, jamás, se filtraría.
Esa premisa era una fantasía. Y ahora que estamos construyendo sistemas nacionales enteros sobre esa fantasía, las consecuencias de su fracaso van a ser proporcionales a la escala del sistema.
Abogado constitucionalista que me lee: la irrevocabilidad biométrica tiene implicaciones jurídicas que todavía no se han litigado. Porque cuando el Estado recopila un dato que no se puede remediar si se filtra, el Estado está asumiendo una responsabilidad que no tiene precedente jurídico. No es como recopilar nombres o direcciones, donde la filtración causa daño pero el daño se puede contener. Es recopilar datos cuya filtración causa daño permanente, irreparable y sin mecanismo de restitución. El Estado no puede devolverte tu privacidad biométrica una vez que la perdió. No puede darte una cara nueva. No puede darte huellas nuevas. El daño es absoluto y perpetuo. Y un Estado que causa un daño que no puede reparar enfrenta una pregunta constitucional que los tribunales van a tener que resolver: ¿puede el Estado obligarte a entregar algo que, si el Estado lo pierde, te deja sin remedio?
La suplantación de identidad biométrica: el crimen que viene
No estoy hablando de un riesgo teórico. Estoy hablando de un tipo de delito que va a explotar en los próximos años y para el cual ni el sistema jurídico ni el sistema tecnológico de México están preparados.
La suplantación de identidad biométrica funciona así:
Un atacante obtiene tus datos biométricos de una filtración. Tu rostro en formato digital. Tus huellas en formato de template biométrico. Tu iris escaneado. El atacante no necesita tu cara física. Necesita la representación digital de tu cara. Y esa representación es exactamente lo que la CURP biométrica almacena.
Con esos datos, el atacante puede:
Suplantar tu identidad en sistemas de verificación remota. Los sistemas que usan reconocimiento facial para verificar identidad — bancos digitales, plataformas fintech, aplicaciones de gobierno digital — comparan la imagen que captura la cámara con la imagen almacenada en la base de datos. Si el atacante tiene la imagen almacenada, puede presentarla mediante técnicas de replay, deepfake en tiempo real o inyección de datos en el flujo de verificación. El sistema compara. Coincide. Acceso concedido. A nombre tuyo.
Crear documentos de identidad falsos con tus datos biométricos reales. Una identificación falsificada con los datos biométricos auténticos de otra persona no es un documento falso en el sentido tradicional. El documento es falso, pero la biometría es real. Y si el sistema de verificación valida la biometría, el documento pasa. Porque el sistema confía en la biometría. Y la biometría es genuina. Solo que no la está presentando su dueño.
Vincular tu identidad biométrica con delitos que no cometiste. Huellas dactilares plantadas en una escena. Rostro usado para acceder a un lugar. Iris utilizado para autenticar una transacción. Todo verificable. Todo auténtico. Todo atribuible a ti. Y todo falso en cuanto a tu participación.
Ese último punto es el que debería quitarle el sueño a cualquier ciudadano. Porque en un sistema donde la biometría es la prueba definitiva de identidad — «la huella coincide, por lo tanto eres tú» –, la suplantación biométrica te deja sin defensa. ¿Cómo le explicas al juez que la huella es tuya pero tú no estuviste ahí? ¿Cómo le explicas al banco que el rostro es el tuyo pero tú no abriste esa cuenta? ¿Cómo le explicas al sistema que la biometría coincide porque alguien la robó, no porque tú la presentaste?
El sistema está diseñado para confiar en la biometría como prueba definitiva. Y cuando esa prueba definitiva se puede robar y replicar, el sistema se convierte en una trampa para el inocente.
Los tribunales no están preparados
Voy a hablar de algo que me preocupa profundamente como perito que participa regularmente en procesos judiciales: los tribunales mexicanos no están preparados para la suplantación de identidad biométrica.
Hoy, cuando un juez ve que una huella dactilar coincide con la base de datos, la conclusión es: esa persona estuvo ahí. Cuando un sistema de reconocimiento facial verifica una identidad, la conclusión es: esa persona realizó esa transacción. La biometría se trata como prueba irrefutable.
Pero cuando los datos biométricos se filtran, la biometría deja de ser irrefutable. La coincidencia biométrica ya no prueba presencia ni identidad. Prueba coincidencia de datos. Y los datos pueden haber sido obtenidos de una filtración y presentados por un tercero.
Esa distinción — entre probar identidad y probar coincidencia de datos — es la que los tribunales van a tener que aprender a hacer. Y van a tener que aprenderla rápido. Porque los casos van a empezar a llegar.
Un acusado cuya huella se encontró en una escena va a argumentar que sus datos biométricos están en una base de datos filtrada y que cualquier persona pudo haber replicado su huella. Y ese argumento va a ser legítimo. No una excusa. No una evasión. Un argumento técnico sólido que cuestiona la premisa fundamental de la prueba biométrica: que la biometría es exclusiva de su titular.
Una vez que la biometría deja de ser exclusiva — porque se filtró –, la prueba biométrica pierde su valor probatorio absoluto. Se convierte en un indicio, no en una prueba. Un indicio que necesita corroboración independiente. Un indicio que, por sí solo, ya no puede sostener una condena.
Legislador que me lee: entiende la cascada de consecuencias. El sistema biométrico se presenta como la solución al robo de identidad. Pero si la base se filtra, el sistema biométrico se convierte en el facilitador del robo de identidad más sofisticado y difícil de combatir que hayamos visto. No solo no resolviste el problema — lo amplificaste. Lo hiciste irremediable. Lo convertiste de un problema temporal (robar un documento, que se puede reemplazar) en un problema permanente (robar una cara, que no se puede cambiar).
El problema fundamental que nadie está discutiendo
Y aquí llego al punto que he estado construyendo durante cuatro artículos. El punto que debería ser el eje de toda política pública sobre biometría. El punto que debería estar tatuado en la mente de cada tomador de decisiones que tenga algo que ver con la CURP biométrica.
La biometría viola el principio fundamental de la seguridad de la información: la capacidad de revocar y reemplazar credenciales comprometidas.
Ese no es un detalle técnico. Es un defecto arquitectónico fundamental. Es como construir un edificio sin salidas de emergencia. No importa qué tan bonito sea el edificio, qué tan funcional, qué tan moderno. Si no tiene salidas de emergencia, no es seguro. Punto. No hay argumento de eficiencia que compense la ausencia de una salida de emergencia.
La biometría como factor único de identificación no tiene salida de emergencia. Cuando falla — y va a fallar –, no hay a dónde ir. No hay plan B. No hay credencial de reemplazo. No hay reset de fábrica.
Y estamos construyendo un sistema nacional entero sobre esa base. Estamos concentrando los datos biométricos de 130 millones de personas en una arquitectura que, cuando se comprometa, no tiene mecanismo de recuperación.
Eso no es innovación. Es temeridad.
Las alternativas que existen y que nadie está considerando
No soy un ludita. No estoy en contra de la tecnología de identificación. Estoy en contra de la implementación irresponsable de una tecnología cuyas consecuencias de fallo son irreversibles. Y estoy a favor de alternativas que logren el mismo objetivo — identidad confiable y verificable — sin el riesgo de irrevocabilidad.
Biometría como factor local, no como base de datos centralizada. En lugar de almacenar tu biometría en un servidor del gobierno, almacénala en un chip en tu documento de identidad. La verificación se hace comparando tu huella con la huella almacenada en el chip, no con una base de datos central. Si el documento se pierde, los datos biométricos no están en un servidor que puede ser hackeado. Están en un chip que se puede destruir y reemplazar. Países como Alemania usan este modelo para sus documentos de identidad.
Tokens biométricos cancelables. Existe tecnología que transforma los datos biométricos en representaciones matemáticas que se pueden revocar y reemplazar. En lugar de almacenar tu huella, se almacena una transformación de tu huella. Si la transformación se filtra, se aplica una transformación diferente y se genera un nuevo token. Tu huella no cambia, pero la representación almacenada sí. Es biometría con capacidad de revocación. No es perfecta. Tiene limitaciones. Pero preserva el principio de remediación que la biometría cruda destruye.
Identidad descentralizada. Sistemas donde el ciudadano controla sus propios datos de identidad a través de billeteras digitales, sin que exista una base de datos central que pueda ser atacada. La verificación se hace de forma par a par, sin intermediario gubernamental que concentre todos los datos.
Autenticación multifactor sin biometría cruda. Combinar algo que sabes (contraseña) con algo que tienes (token físico) proporciona una seguridad equivalente a la biometría para la mayoría de los casos de uso, sin el riesgo de irrevocabilidad. No es tan «conveniente» como poner el dedo en un lector. Pero es remediable cuando falla. Y esa remediabilidad vale más que toda la conveniencia del mundo.
Cada una de estas alternativas logra el objetivo declarado del gobierno — identidad confiable y verificable — sin concentrar datos irrevocables en un honeypot centralizado. Cada una preserva el principio de remediación. Cada una tiene salida de emergencia.
Pero ninguna está siendo considerada. Porque la inercia institucional favorece la solución más visible, más espectacular, más «moderna»: la base de datos biométrica centralizada. La solución que se ve bien en las conferencias de prensa pero que tiene un defecto de diseño que ningún comunicado puede corregir.
Lo que puedes hacer hoy
He dedicado cuatro artículos a documentar el riesgo. Pero documentar no es suficiente. Necesitas herramientas de acción. Aquí van.
Si eres ciudadano: entiende que tus datos biométricos son tuyos, que son irrevocables, y que entregarlos es una decisión que no tiene marcha atrás. Infórmate. Comparte esta información. Exige transparencia sobre cómo se protegen. Y si decides que el riesgo no justifica la entrega, ejerce tu derecho a oponerte, documéntalo por escrito, y busca asesoría legal.
Si eres abogado: prepárate para los casos de suplantación de identidad biométrica que van a llegar. Entiende la tecnología. Entiende la diferencia entre coincidencia de datos y prueba de identidad. Entiende que la filtración de bases de datos biométricos cambia fundamentalmente el valor probatorio de la prueba biométrica. Y si tienes la vocación constitucional, litiga el amparo contra la coacción biométrica. El precedente que establezcas puede proteger a millones.
Si eres legislador: antes de ampliar el registro biométrico, responde esta pregunta: ¿qué pasa cuando la base se filtra? Si no tienes respuesta, no tienes derecho a recopilar los datos. Crea el marco legal específico para datos biométricos. Establece la categoría de datos irrevocables con estándares de protección proporcionales. Crea consecuencias penales para la negligencia. Y, sobre todo, evalúa las alternativas tecnológicas que logran el mismo objetivo sin el riesgo de irrevocabilidad.
Si eres periodista: esta historia es tuya. Los datos biométricos de 130 millones de mexicanos están siendo recopilados sin un debate público proporcional a la magnitud del riesgo. Investiga. Pregunta. Documenta. Haz las preguntas que el gobierno no quiere que se hagan. ¿Qué pasa si se filtra? ¿Cuánto se invierte en seguridad? ¿Quién es responsable si los datos se comprometen? ¿Qué alternativas se evaluaron? Publica las respuestas. O publica la ausencia de respuestas, que es igual de reveladora.
Si eres empresario: entiende que la filtración de la base biométrica nacional afecta directamente la seguridad de cualquier sistema biométrico que tu empresa opere. Evalúa tu dependencia de la biometría como factor único de autenticación. Implementa multifactor. No confíes en la biometría como si fuera infalible. Prepara planes de contingencia para el escenario en que los datos biométricos de tus empleados y clientes dejen de ser secretos.
Si eres activista de privacidad: organiza. Este tema necesita voz pública, necesita presión social, necesita debate. No dejes que la recolección masiva de biometría se normalice en silencio. Cada día que pasa sin debate es un día que el Estado avanza en la recopilación sin rendir cuentas. El tiempo corre a favor de la inercia institucional. Solo la presión organizada puede frenarla o condicionarla.
El punto sin retorno
Quiero cerrar esta serie con una imagen que creo que captura la esencia del problema.
Imagina que el gobierno te pide la llave de tu casa. Te dice que la va a guardar en una caja fuerte. Te dice que es por seguridad. Te dice que con tu llave guardada, nadie va a poder suplantarte. Te dice que la caja fuerte es inexpugnable.
Pero tú sabes — porque has visto la historia de esa caja fuerte — que ya la han abierto antes. Que ya se han robado cosas de adentro. Que los que la cuidan no tienen el presupuesto ni la capacitación para protegerla. Que la cerradura tiene defectos conocidos que nadie ha reparado. Y que hay miles de personas intentando abrirla todos los días porque lo que hay adentro vale una fortuna.
Y sabes algo más: si roban tu llave, no puedes cambiar la cerradura. Porque tu casa no tiene otra cerradura. Porque la única cerradura que existe es la que abre esa llave. Y esa llave es tu cara.
Eso es la CURP biométrica.
Una llave que no puedes cambiar, guardada en una caja que ya han violado, custodiada por una institución que no ha demostrado la capacidad de proteger ni siquiera lo que ya tiene.
Y la decisión de entregar esa llave — tu cara, tus huellas, tu iris — es una decisión que no tiene marcha atrás.
He escrito seis libros sobre informática forense. He formado a 1,300 peritos. He dedicado 17 años de mi vida a entender cómo los sistemas fallan y cómo proteger a las personas cuando fallan. Y en toda mi carrera, nunca he visto un riesgo con estas tres características simultáneas:
Uno: la certeza técnica de que la filtración va a ocurrir, basada en el historial documentado del Estado mexicano.
Dos: la escala del daño, que abarca a 130 millones de personas.
Tres: la irrevocabilidad de las consecuencias, que convierte un incidente de seguridad en un daño permanente sin mecanismo de reparación.
Nunca. En 17 años.
Esto no es un problema técnico que se resuelve con más firewalls. No es un problema jurídico que se resuelve con más leyes. No es un problema político que se resuelve con más promesas. Es un problema de diseño fundamental: estamos construyendo un sistema que, cuando falle, no tiene modo de recuperación.
Y la pregunta no es si va a fallar. La pregunta — la única pregunta que importa — es si vamos a hacer algo antes de que falle.
Porque después de que falle, la pregunta va a ser otra. Va a ser la misma con la que abrí este artículo. La que no tiene respuesta. La que debería quitarle el sueño a cada persona que entregó sus datos biométricos sin que nadie le explicara lo que significaba.
Filtraron tu cara. ¿Ahora qué?
Aut viam inveniam aut faciam.