Sin margen para errores: la CURP biométrica demostrará el grado de prioridad del gobierno a la ciberseguridad

El gobierno mexicano, a través de la Secretaría de Gobernación (Segob) y el Registro Nacional de Población e Identidad (Renapo), lanzó la solicitud de cotización LA-N-59-2025 para contratar servicios de nube híbrida y multicloud que respalden el almacenamiento y procesamiento de datos de la nueva CURP biométrica.

El proyecto contempla un presupuesto máximo de 520 millones de pesos y tendrá vigencia hasta febrero de 2028. Su objetivo es garantizar seguridad, disponibilidad y eficiencia en la gestión de identidades digitales. No obstante, el uso de servicios en la nube para almacenar información tan sensible como huellas dactilares, iris, fotografías y firmas, introduce riesgos significativos que podrían afectar a millones de ciudadanos.

El documento oficial exige estándares internacionales de ciberseguridad, autenticación multifactor y cifrado de datos en tránsito y reposo. También resalta la necesidad de “ciberseguridad robusta ante posibles ataques”, lo que refleja la preocupación por la exposición de datos biométricos a amenazas externas. Una filtración de esta información tendría consecuencias irreversibles, ya que, a diferencia de una contraseña, los datos biométricos no pueden modificarse.

México enfrenta un panorama complejo: se registran alrededor de 59 millones de ciberataques diarios. Un fallo en la infraestructura del Renapo podría derivar en robos masivos de identidad, extorsiones y suplantaciones permanentes. Los precedentes no son alentadores: en 2022 la Secretaría de la Defensa Nacional sufrió la filtración de 6 GB de información, mientras que a nivel internacional se han expuesto millones de registros biométricos sin encriptar.

La estrategia multicloud contempla el uso de proveedores globales como AWS, Azure o Google Cloud. Aunque esta diversificación busca evitar dependencia exclusiva, también abre la puerta a configuraciones defectuosas o errores de integración que podrían interrumpir el servicio o generar accesos no autorizados.

El contrato estipula disponibilidad constante 24/7 para consultas y validaciones, así como planes de migración y transición sin interrupciones. Sin embargo, cualquier fallo durante la integración o capacitación del personal podría paralizar servicios esenciales, afectando trámites administrativos, operaciones bancarias o acceso a servicios públicos.

Otro aspecto crítico es la residencia de los datos: deberán permanecer físicamente en México, Estados Unidos o Canadá. Aunque esta medida busca cumplir con estándares internacionales, implica riesgos de pérdida de control soberano. Legislaciones extranjeras, como la CLOUD Act en Estados Unidos, podrían habilitar accesos no autorizados a la información mexicana.

El proyecto también prevé capacitación técnica e informes periódicos sobre rendimiento y consumo de recursos. Aun así, persisten riesgos de sobrecostos por incidentes inesperados, fallos en la ejecución o errores humanos. En un contexto de presupuestos limitados, estas desviaciones podrían afectar otras áreas prioritarias.

La complejidad aumenta con la incorporación de herramientas avanzadas como inteligencia artificial para reconocimiento facial. Sin una correcta gestión, podrían sobrecargar el sistema y provocar ineficiencias, pérdida de información o incremento de gastos.

Un escenario de falla podría derivar en:

- Exposición masiva de datos biométricos, con riesgos de por vida para los afectados.

- Interrupción de servicios esenciales, excluyendo a ciudadanos de trámites críticos.

- Fuga de información hacia entidades extranjeras, con posibles implicaciones geopolíticas.

- Uso indebido de la CURP biométrica como herramienta de vigilancia masiva, debilitando derechos democráticos.

- Sobrecostos y pérdida de confianza pública, en un país con antecedentes de fallos en proyectos digitales gubernamentales.

La CURP biométrica representa un paso hacia la modernización de la identidad digital en México, al apostar por tecnologías de nube híbrida, cifrado y alta disponibilidad. Sin embargo, los riesgos asociados —desde ciberataques hasta pérdida de soberanía sobre datos sensibles— hacen indispensable una implementación impecable, auditorías independientes y un marco legal sólido que priorice la protección ciudadana sobre la eficiencia tecnológica.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599