No es cuestión de si van a hackear la base de datos biométrica de México. Es cuestión de cuándo.
Y no lo digo como opinión. No lo digo como postura ideológica. No lo digo para generar pánico. Lo digo como perito informático forense con 17 años de experiencia, que ha analizado filtraciones de datos gubernamentales mexicanos, que ha participado en auditorías de seguridad de sistemas críticos, que ha visto desde adentro cómo se construyen — y cómo se caen — las bases de datos que el Estado dice proteger.
Lo digo porque la evidencia histórica es inequívoca. Lo digo porque la infraestructura tecnológica del Estado mexicano es insuficiente. Lo digo porque los incentivos para atacar una base de datos con 130 millones de registros biométricos son astronómicos. Y lo digo porque, cuando la filtración ocurra, las consecuencias van a ser irreversibles.
En el artículo anterior presenté el argumento oficial del gobierno a favor de la CURP biométrica. Lo presenté con respeto. Lo analicé con objetividad. Reconocí que el problema de identidad en México es real y que la solución biométrica tiene una lógica interna coherente.
Este artículo es la otra cara. La que el gobierno no presenta en sus comunicados. La que no aparece en las conferencias de prensa. La que nadie quiere discutir porque discutirla implica reconocer que el Estado está construyendo la bomba de privacidad más grande en la historia de México.
El historial que nadie quiere recordar
Antes de hablar del futuro, hablemos del pasado. Porque el pasado del gobierno mexicano en materia de protección de datos es un expediente de fracasos que debería ser requisito de lectura para cualquier legislador que vote a favor de centralizar más datos en manos del Estado.
El padrón electoral
En 2016, un investigador de seguridad descubrió que la base de datos del padrón electoral del INE — con los datos de aproximadamente 93 millones de votantes mexicanos — estaba expuesta en un servidor de Amazon Web Services sin protección. Sin contraseña. Sin cifrado. Sin firewall. Sin nada. Nombres completos, direcciones, fechas de nacimiento, claves de elector, CURP. Todo disponible para cualquier persona que supiera dónde buscar.
93 millones de registros. Expuestos. Por negligencia.
Esos datos no eran biométricos. Eran datos personales convencionales. Nombres. Direcciones. Fechas. Y aun así, el Estado no fue capaz de protegerlos.
Ahora el mismo Estado dice que va a proteger algo infinitamente más sensible: tu cara, tus huellas, tu iris. Los datos que te identifican de forma única e irrevocable para el resto de tu vida.
La base de datos del ISSSTE
En 2022, la base de datos del ISSSTE fue comprometida. Información de derechohabientes — datos de salud, datos personales, historiales — quedó expuesta. No fue un ataque sofisticado de un grupo de hackers élite. Fue una vulnerabilidad que no debería haber existido en un sistema que almacena datos de millones de mexicanos.
Pemex y el ransomware
En 2019, Pemex fue víctima de un ataque de ransomware. DoppelPaymer cifró los sistemas de la petrolera estatal y exigió un rescate de casi 5 millones de dólares. Los sistemas internos quedaron paralizados. La empresa tuvo que operar con parches durante semanas.
Pemex es una de las empresas más grandes de México. Tiene presupuesto. Tiene área de tecnología. Tiene infraestructura. Y fue vulnerada por un ransomware que, en el ecosistema de ciberamenazas, no era particularmente sofisticado.
La Lotería Nacional
En 2021, el grupo de ransomware Avaddon atacó la Lotería Nacional. Robó documentos internos. Publicó parte de la información en la dark web. La Lotería Nacional tardó días en reconocer el incidente.
SEDENA y Guacamaya Leaks
En 2022, el grupo hacktivista Guacamaya extrajo 6 terabytes de información de la Secretaría de la Defensa Nacional. No de una empresa privada. De la secretaría encargada de la defensa del país. Correos internos. Documentos clasificados. Información de inteligencia militar. 6 terabytes. Todo filtrado. Todo publicado.
Si la SEDENA — la institución que, por definición, debería tener los estándares de seguridad más altos del Estado mexicano — no pudo proteger su información, ¿qué nos hace pensar que RENAPO o la institución que administre la base de datos biométrica va a poder hacerlo?
La pregunta no es retórica. Es técnica. Y la respuesta técnica es: nada. No hay nada que lo sugiera. No hay evidencia de que el Estado mexicano tenga la capacidad de proteger una base de datos de esa magnitud y esa sensibilidad.
El patrón
Estos no son incidentes aislados. Son un patrón. Un patrón que dice: el Estado mexicano no protege sus bases de datos. No tiene la infraestructura. No tiene el presupuesto. No tiene la cultura institucional. No tiene los protocolos. No tiene el personal capacitado en las cantidades que se necesitan. No tiene nada de lo que se necesita para proteger la información que ya tiene, mucho menos la que quiere recopilar.
Y a ese Estado, con ese historial, con esa capacidad demostrada, le vamos a entregar lo único que no podemos cambiar si se filtra: nuestro cuerpo digitalizado.
El concepto de honeypot: por qué 130 millones de registros biométricos son un imán para el cibercrimen global
Periodista que me lee y que quiere entender la escala del riesgo: déjame explicarte un concepto de ciberseguridad que es fundamental para entender por qué la CURP biométrica no es solo un riesgo nacional sino un riesgo global.
Un honeypot, en el argot de seguridad, es un objetivo tan atractivo que atrae atacantes por su propia naturaleza. Normalmente lo usamos de forma intencional — colocamos un sistema que parece vulnerable para estudiar cómo lo atacan. Pero hay honeypots no intencionales. Bases de datos que, por la cantidad y calidad de información que contienen, se convierten en el objetivo número uno de cada grupo de cibercrimen que se entera de su existencia.
Una base de datos con los rostros, huellas dactilares e iris de 130 millones de personas es el honeypot no intencional más grande que América Latina haya producido.
Entiende la economía del cibercrimen: los datos se venden. Los datos personales se venden a un precio. Los datos financieros se venden a un precio mayor. Los datos biométricos se venden al precio más alto del mercado. Porque los datos biométricos tienen una propiedad que los hace únicos entre todos los tipos de datos: no caducan y no se pueden cambiar.
Un número de tarjeta de crédito robado tiene vida útil. El banco lo detecta, cancela la tarjeta, emite otra. Fin. Una contraseña robada se puede cambiar. Un correo electrónico comprometido se puede migrar. Pero un rostro robado, unas huellas robadas, un iris robado — esos datos son útiles para siempre. Porque la persona no puede cambiar su cara. No puede cambiar sus huellas. No puede cambiar su iris.
En el mercado negro, los datos biométricos son oro que no se devalúa.
Ahora multiplica ese valor por 130 millones de registros. Eso es lo que el gobierno de México está construyendo. Un tesoro de datos irrevocables, centralizado en una sola base, administrado por una institución con un historial documentado de vulnerabilidades, en un país que es objetivo constante de cibercrimen internacional.
Los grupos de cibercrimen sofisticados — APT28, APT41, Lazarus, los grupos de ransomware-as-a-service que operan desde Europa del Este y el Sudeste Asiático — ya atacan infraestructura latinoamericana. Ya han vulnerado gobiernos de la región. Ya tienen las herramientas, las técnicas y la motivación. Lo único que les faltaba era un objetivo que justificara un esfuerzo coordinado de penetración sostenida.
La CURP biométrica les está dando ese objetivo.
Empresario que administra datos biométricos en tu empresa para control de acceso y que me lee: si la base de datos nacional se filtra, los datos biométricos que tú usas para verificar identidad dejan de ser confiables. Porque el atacante que obtenga la base nacional tiene las huellas de tus empleados. Tiene los rostros de tus clientes. Tiene los datos que tu sistema usa para autenticar. Tu seguridad biométrica empresarial está anclada a la seguridad biométrica del Estado. Y si el ancla falla, tu barco se suelta.
La incapacidad estructural del Estado para proteger lo que recopila
No estoy hablando de voluntad. Estoy seguro de que hay funcionarios honestos y competentes dentro de las instituciones que quieren proteger los datos. No cuestiono la intención. Cuestiono la capacidad.
La capacidad de proteger una base de datos biométrica de 130 millones de registros requiere, como mínimo:
Infraestructura de nivel militar. No estoy exagerando. Una base de datos de esa sensibilidad necesita centros de datos redundantes, cifrado de extremo a extremo en reposo y en tránsito, segmentación de red, monitoreo continuo de amenazas 24/7/365, respuesta a incidentes con tiempos medidos en minutos — no horas, no días, minutos –, actualización constante de parches de seguridad, pruebas de penetración regulares por terceros independientes, y un equipo de ciberseguridad con los salarios competitivos necesarios para atraer talento que, de otra forma, se iría al sector privado o al extranjero.
Presupuesto sostenido. La ciberseguridad no es un gasto único. Es un gasto recurrente y creciente. Las amenazas evolucionan. Las herramientas de ataque se sofistican. Los vectores de penetración cambian. Un sistema que era seguro en 2024 puede no serlo en 2025 si no se actualiza. Y actualizar cuesta. Cuesta personal. Cuesta licencias. Cuesta hardware. Cuesta capacitación. Cuesta simulacros. Cuesta auditorías. Todos los años. Sin excepción. Sin recortes.
México ha recortado presupuesto de tecnología en múltiples dependencias en años recientes. Ha fusionado áreas. Ha reducido personal. Ha eliminado programas. La tendencia presupuestal del Estado mexicano en tecnología va en la dirección opuesta a la que se necesita para proteger una base de datos biométrica.
Marco regulatorio con consecuencias reales. Si un servidor público pierde la base de datos biométrica por negligencia, ¿qué le pasa? Si un contratista tiene acceso no autorizado y vende datos, ¿qué le pasa? Si la institución encargada no cumple con los estándares de seguridad, ¿qué le pasa?
La respuesta, con la legislación actual, es: probablemente nada significativo. Y cuando la negligencia no tiene consecuencias, la negligencia se normaliza.
Cultura institucional de ciberseguridad. Esta es quizás la barrera más difícil de superar. La ciberseguridad no es un producto que se compra y se instala. Es una cultura que se construye. Cada empleado que tiene acceso al sistema — desde el administrador de bases de datos hasta el capturista en la ventanilla — es un vector potencial de ataque. Un clic en un correo de phishing. Una contraseña compartida. Un USB conectado a una terminal. Un dispositivo personal en la red interna. Cada uno de esos actos puede ser la puerta de entrada.
He visto por dentro las prácticas de seguridad de instituciones gubernamentales en México. He participado en peritajes donde tuve que examinar la infraestructura de dependencias federales y estatales. Lo que he visto no es compatible con la responsabilidad de administrar 130 millones de registros biométricos.
La LFPDPPP no te protege aquí — y eso es un problema
Abogado constitucionalista que me lee: necesito que prestes atención a esto porque es un vacío que requiere acción jurídica.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares — la LFPDPPP — es la ley que regula cómo las empresas privadas manejan tus datos personales. Establece principios de consentimiento, finalidad, proporcionalidad, seguridad. Le da al titular derechos ARCO: acceso, rectificación, cancelación, oposición. Le impone obligaciones al responsable del tratamiento. Le pone multas al que incumple.
Para el sector público existe la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Tiene su propia estructura, sus propios principios, su propia autoridad garante.
Pero ninguna de las dos leyes fue diseñada para datos biométricos. Ninguna de las dos contempla la naturaleza irrevocable de la biometría. Ninguna de las dos establece estándares de seguridad específicos para bases de datos biométricos. Ninguna de las dos tiene un protocolo de respuesta para cuando — no si, cuándo — la base de datos biométrica se filtra.
Las leyes de protección de datos en México tratan a los datos biométricos con la misma lógica que a un correo electrónico o un número de teléfono. Si se filtra, se notifica. Se remedia. Se cambia. Se mitiga.
Pero los datos biométricos no se cambian. No se remedian. No se mitigan. Se filtran y quedan comprometidos para siempre.
El marco legal actual no tiene una respuesta para eso. No la tiene porque no la contempló. No la contempló porque cuando se redactaron las leyes, la recolección masiva de biometría no era un escenario operativo. Ahora lo es. Y la ley no se ha actualizado.
Legislador que me lee: antes de ampliar la recolección biométrica, actualiza el marco legal. Crea una categoría específica para datos biométricos con estándares de seguridad proporcionados a su naturaleza irrevocable. Establece consecuencias reales — penales, no solo administrativas — para la negligencia en su protección. Crea un protocolo de respuesta a incidentes que reconozca que una filtración biométrica no se remedia de la misma forma que una filtración de correos electrónicos.
Porque si no actualizas la ley antes de recolectar los datos, estás construyendo la bomba antes de construir el búnker.
Qué pasa cuando se filtra: el escenario que nadie planea
Voy a construir el escenario. No el peor caso. El caso probable. El caso que la evidencia histórica y la capacidad técnica del Estado mexicano hacen no solo posible sino esperable.
Año X. La base de datos biométrica de México se filtra. No importa cómo — puede ser un ataque externo, puede ser un empleado interno, puede ser un proveedor de infraestructura comprometido, puede ser un error de configuración como el del padrón electoral en 2016. El cómo no importa para efectos de lo que sigue. Lo que importa es que 130 millones de registros biométricos — rostros, huellas, iris — están ahora en manos de actores no autorizados.
Hora 0 a hora 24. Los datos aparecen en foros de la dark web. Primero como prueba de concepto — muestras de algunos miles de registros para demostrar que la filtración es real. Después como paquete completo, disponible para compra.
Semana 1. Grupos de cibercrimen internacional adquieren la base de datos. Comienzan a cruzar los datos biométricos con otras bases de datos filtradas previamente — el padrón electoral, bases de datos bancarias, bases de datos del SAT. Ahora tienen paquetes completos: nombre, dirección, CURP, RFC, rostro, huellas. Todo lo que necesitan para una suplantación de identidad perfecta.
Mes 1 a mes 6. Comienzan los fraudes. Solicitudes de crédito con identidad biométrica suplantada. Accesos no autorizados a sistemas que usan verificación biométrica. Creación de documentos de identidad con los datos biométricos de otras personas. El fraude biométrico se industrializa.
Año 1. Los tribunales comienzan a recibir casos de suplantación de identidad biométrica. Pero la defensa enfrenta un problema que nunca había existido: ¿cómo pruebas que no eres tú cuando los datos que te identifican como tú están en manos de alguien más? La biometría que se suponía infalible se convierte en la herramienta perfecta de suplantación. Porque si el sistema dice «esta huella coincide,» el sistema tiene razón — la huella sí coincide. Lo que el sistema no puede saber es si la huella fue presentada por su dueño legítimo o por alguien que la obtuvo de la filtración.
Año 2 en adelante. El problema es permanente. A diferencia de una filtración de contraseñas — donde la solución es cambiarlas –, no hay solución. No puedes darle nuevas huellas a 130 millones de personas. No puedes darles nuevos rostros. No puedes darles nuevos iris. Los datos comprometidos siguen siendo los datos de verificación. El sistema biométrico se vuelve fundamentalmente inseguro porque los datos que lo alimentan ya no son secretos.
Eso no es ficción. Es proyección basada en evidencia.
El problema de la concentración: todos los huevos en una base de datos
Hay un principio básico en seguridad de la información que cualquier profesional de ciberseguridad aprende en el primer año: no concentres datos sensibles en un solo punto. Distribuye. Segmenta. Compartimenta. Porque si concentras todo en un solo lugar y ese lugar se compromete, lo pierdes todo.
La CURP biométrica viola ese principio de forma espectacular.
130 millones de registros. Una base de datos. Un punto de falla.
Si el sistema biométrico estuviera descentralizado — si cada estado, cada institución, cada nivel de gobierno tuviera su propia base con sus propios estándares y sus propios controles –, una filtración comprometería una fracción de los datos. Sería grave, pero sería contenible.
Pero la lógica de la CURP biométrica es la centralización. Ese es el punto. Una clave única. Una base de datos única. Un sistema unificado. La eficiencia que promete depende de que todo esté en un solo lugar.
Y la vulnerabilidad catastrófica que genera también depende de que todo esté en un solo lugar.
La centralización es simultáneamente la razón de ser del sistema y la razón de su vulnerabilidad. No puedes tener una sin la otra. Y el gobierno está eligiendo la eficiencia sin aceptar que la vulnerabilidad viene incluida en el paquete.
Lo que debería existir antes de recolectar un solo dato biométrico
No soy un obstruccionista. No estoy diciendo que la biometría sea inherentemente mala. Estoy diciendo que la implementación mexicana — con la infraestructura actual, el presupuesto actual, el marco legal actual y el historial de seguridad actual — es temeraria.
Si el gobierno quisiera hacer esto bien, lo mínimo indispensable sería:
Auditoría pública de seguridad. Antes de recolectar un solo dato biométrico, contratar a una firma internacional de ciberseguridad — independiente del gobierno — para que audite la infraestructura que va a alojar la base de datos. Publicar los resultados. No un resumen ejecutivo. Los resultados completos. Que la sociedad sepa en qué se están almacenando sus datos más sensibles.
Estándares de cifrado de grado militar. Los datos biométricos deben almacenarse cifrados con estándares AES-256 como mínimo, tanto en reposo como en tránsito. Las llaves de cifrado deben administrarse con hardware security modules (HSM) que estén bajo control compartido de múltiples instituciones — no de una sola.
Segmentación y compartimentación. La base de datos no debería ser un monolito. Debería estar segmentada de forma que una penetración en un segmento no comprometa la totalidad. Los datos biométricos deberían estar separados de los datos de identificación, vinculados solo a través de tokens que carecen de significado fuera del sistema.
Monitoreo continuo y respuesta a incidentes. Un centro de operaciones de seguridad (SOC) dedicado, operando 24/7/365, con personal capacitado, con protocolos de respuesta con tiempos definidos en minutos, con simulacros regulares, con pruebas de penetración trimestrales por terceros.
Marco legal actualizado. Una ley específica para datos biométricos que reconozca su naturaleza irrevocable y establezca estándares de protección proporcionales a su sensibilidad. Con consecuencias penales — no administrativas — para la negligencia.
Plan de contingencia para filtración. Un protocolo documentado, publicado y probado que diga exactamente qué pasa cuando la base se filtra. Porque va a pasar. Y si no hay plan, la respuesta va a ser improvisada. Y una respuesta improvisada ante una filtración de 130 millones de registros biométricos es una receta para el caos.
Nada de esto existe hoy. Y sin que exista, la recolección masiva de datos biométricos es un acto de fe tecnológica que ningún perito informático serio suscribiría.
Esto no es paranoia. Es ingeniería de riesgos.
Activista de privacidad que me lee: entiende que este argumento no es ideológico. No estoy en contra de la tecnología. No estoy en contra de la identificación. No estoy en contra de la modernización del Estado. Estoy en contra de la implementación temeraria de un sistema que, si falla, produce consecuencias irreversibles.
Ciudadano que me lee y que piensa «a mí no me afecta, yo no tengo nada que esconder»: la filtración de tus datos biométricos no te afecta porque tengas algo que esconder. Te afecta porque alguien puede usar tu cara para abrir una cuenta bancaria a tu nombre. Te afecta porque alguien puede usar tus huellas para vincular tu identidad con un delito que no cometiste. Te afecta porque, en un mundo donde la verificación biométrica se expande — bancos, aeropuertos, acceso a edificios, desbloqueo de dispositivos –, tu identidad biométrica comprometida es una puerta abierta permanente a la suplantación.
No necesitas tener algo que esconder para que la filtración te destruya la vida.
Llevo 17 años en esto. He visto filtraciones que arruinaron empresas. He visto vulnerabilidades que comprometieron millones de registros. He visto la mejor tecnología del sector privado ser penetrada por atacantes motivados. Y en cada uno de esos casos, la solución fue cambiar las contraseñas, rotar las llaves, emitir nuevas credenciales. Resetear.
Los datos biométricos no se resetean.
Eso es lo que hace diferente a esta filtración de todas las anteriores. Eso es lo que la convierte en un riesgo sin precedente. Eso es lo que el gobierno debería estar pensando y no está pensando.
En el siguiente artículo voy a abordar el otro lado del problema: el legal. ¿Puedes negarte a entregar tus datos biométricos? ¿Qué dice la ley? ¿Qué pasa en la ventanilla? ¿Y qué opciones tienes cuando la Constitución dice una cosa y el funcionario dice otra?
Comparte este artículo. Que lo lean los que toman las decisiones. Que lo lean los que pueden presionar para que las decisiones se tomen bien. Y que lo lean los que van a vivir con las consecuencias de las decisiones que se tomen mal.
Porque las consecuencias de esta decisión, a diferencia de todas las anteriores, no tienen fecha de caducidad.