Los riesgos de la CURP biométrica y decisiones gubernamentales: ¿sesgo, falta de transparencia e improvisación?

La CURP biométrica, que será obligatoria para trámites públicos y privados a partir de 2026, es una iniciativa impulsada por José Antonio Peña Merino, titular de la Agencia de Transformación Digital y Telecomunicaciones del Gobierno de México, con el objetivo de modernizar la identificación ciudadana mediante la incorporación de datos biométricos como huellas dactilares, escaneo de iris, fotografía digital y firma electrónica. Sin embargo, aún persisten dudas clave sobre dos aspectos fundamentales: la tecnología específica que se implementará y las medidas de seguridad que se adoptarán para proteger esta información, a fin de evitar la exposición o vulneración de los datos personales de millones de mexicanos.

Entre las diversas tecnologías que podrían utilizarse para implementar la CURP biométrica, destaca el uso de blockchain debido a sus posibles ventajas. Esta tecnología permitiría digitalizar servicios y establecer una identidad digital descentralizada y segura, además de aprovechar credenciales verificables. Su aplicación podría contribuir a reducir la corrupción, fortalecer la confianza en el sistema y brindar mayor control a los ciudadanos sobre su propia información.

Sin embargo, cabe preguntarse: ¿qué condiciones deben cumplirse para que esta tecnología represente un verdadero beneficio para la ciudadanía y no se convierta en una nueva amenaza en materia de ciberseguridad?

Para garantizar un proceso transparente y confiable, es esencial que la elección del proveedor se lleve a cabo mediante una licitación pública, y no a través de adjudicaciones directas, como sucedió hace algunos años con el servicio de identidad digital en Monterrey. Igualmente, debe evitarse cualquier vínculo previo entre funcionarios públicos y ejecutivos de las empresas participantes, incluso si estos se originaron en colaboraciones dentro de organizaciones no gubernamentales o entidades sin fines de lucro. Este tipo de relaciones puede comprometer la imparcialidad del proceso, generar sospechas sobre posibles conflictos de interés y alimentar percepciones de falta de transparencia, más allá de las preocupaciones habituales en torno a la corrupción.

Lo anterior también puede dar lugar a situaciones en las que ejecutivos con experiencia en manejo de datos ciudadanos accedan de manera indebida a información sensible, incrementando el riesgo de filtraciones o usos no autorizados. Asimismo, existe la posibilidad de que las decisiones relacionadas con el diseño, la seguridad o las auditorías del sistema favorezcan los intereses de las empresas o sus organizaciones asociadas, en perjuicio de la privacidad y los derechos de los ciudadanos.

Otro aspecto crucial es evitar la repetición de prácticas cuestionables observadas en decisiones polémicas anteriores, como las ocurridas durante la pandemia de COVID-19. En ese contexto, el actual titular de la Agencia de Transformación Digital y Telecomunicaciones estuvo involucrado en una controversia cuando, al frente de la Agencia Digital de Innovación Pública (ADIP) de la Ciudad de México, el gobierno capitalino distribuyó kits médicos con ivermectina a más de 200,000 personas con síntomas leves de COVID-19.

El funcionario escribió en colaboración un artículo titulado “Ivermectin and the odds of hospitalization due to COVID-19”, publicado en SocArXiv —un repositorio en línea de ciencias sociales fundado por el sociólogo Philip N. Cohen en colaboración con el Centro para la Ciencia Abierta— que alegaba una reducción significativa en hospitalizaciones gracias a esta medida. No obstante, el estudio fue retirado en 2022 tras recibir críticas por la falta de rigor científico y cuestionamientos éticos, destacándose:

- Sesgo en los datos. El diseño cuasi-experimental no consideró variables clave como el uso de otros medicamentos o las diferencias socioeconómicas, lo que comprometió la validez de sus conclusiones.

- Falta de transparencia. Los pacientes no fueron informados de que formaban parte de un experimento, incumpliendo el principio de consentimiento informado.

- Improvisación. La distribución de ivermectina se basó en evidencia preliminar, contraviniendo las recomendaciones de organismos internacionales como la OMS y la FDA.

Este antecedente suscita dudas sobre la capacidad de este equipo de funcionarios para liderar un proyecto tan delicado como la CURP biométrica, sin que se repitan errores similares ni se presenten ciertos factores que podrían manifestarse nuevamente durante su implementación:

- Sesgo en los datos. Aunque la implementación de esta iniciativa está a cargo de analistas y científicos de datos, la presión política para garantizar resultados positivos podría comprometer la integridad del análisis y la evaluación del sistema. Este sesgo institucional puede derivar en una sobreestimación de la efectividad operativa, promoviendo una narrativa favorable que no refleje adecuadamente las posibles deficiencias técnicas o fallas en el desempeño del sistema.

- Falta de transparencia. Hasta ahora, el gobierno no ha comunicado qué tecnologías específicas se utilizarán ni cuáles serán los protocolos de seguridad implementados para proteger los datos sensibles de la población. Esta ausencia de información aumenta la incertidumbre, particularmente en un contexto donde México presenta vulnerabilidades significativas en ciberseguridad, evidenciadas por el incremento sostenido en la frecuencia, sofisticación y gravedad de los ataques cibernéticos exitosos desde 2018.

- Improvisación. Existe la preocupación de que el gobierno esté optando por blockchain más por su popularidad que por una evaluación exhaustiva de su eficacia frente al complejo panorama actual de ciberamenazas. La implementación de blockchain en un proyecto tan relevante y sensible genera numerosas dudas, ya que, aunque esta tecnología ofrece ventajas como la descentralización, inmutabilidad y trazabilidad, también presenta importantes desafíos:

- Vulnerabilidades en contratos inteligentes. Fallas en la programación, como las observadas en el caso del DAO en Ethereum (2016), pueden comprometer la seguridad y estabilidad del sistema.

- Amenazas persistentes avanzadas (APT). Ataques sofisticados, similares a los que afectaron a plataformas como Mt. Gox (2014) y Binance (2019), podrían explotar vulnerabilidades en nodos, servidores o claves privadas, especialmente si los responsables carecen de la experiencia adecuada en ciberseguridad.

- Limitaciones de escalabilidad. Las blockchains públicas suelen tener una baja capacidad de procesamiento de transacciones por segundo, lo que podría afectar la disponibilidad del servicio. Por otro lado, las blockchains permisadas, aunque ofrecen mayor escalabilidad, sacrifican resiliencia debido a su naturaleza más centralizada.

- Privacidad en blockchains públicas. Sin la implementación de mecanismos avanzados de protección, la información podría quedar expuesta a todos los nodos de la red, poniendo en riesgo la confidencialidad de los datos.

La centralización de datos biométricos implica un riesgo considerable para la seguridad y la privacidad, ya que crea un punto vulnerable único frente a ataques cibernéticos. Además, esta iniciativa podría facilitar la vigilancia masiva, sobre todo en un entorno donde la eliminación del INAI ha dejado al sistema sin una supervisión independiente, incrementando así el riesgo de que los datos se utilicen indebidamente con fines políticos, como la persecución de opositores o la manipulación social.

Por otra parte, la obligatoriedad de la CURP biométrica puede provocar exclusión social y desigualdad, afectando principalmente a grupos vulnerables que tienen acceso limitado a internet, como comunidades rurales, personas mayores y migrantes. Un diseño tecnológico complejo, que no considere las particularidades de personas con discapacidades o empleos que dificulten la autenticación biométrica, junto con la falta de educación digital necesaria para gestionar claves privadas, puede agravar esta exclusión.

Asimismo, la carencia de un marco regulatorio robusto y la falta de supervisión independiente elevan los riesgos legales y éticos, al imponer a los ciudadanos la entrega de datos sensibles sin un consentimiento plenamente informado, mientras que la experiencia previa del actual titular en proyectos polémicos sugiere posibles deficiencias en la planeación y auditoría del sistema.

Para asegurar que el sistema sea ético, seguro e inclusivo, el gobierno debe primero contar con evidencia sólida y confiable que demuestre que la implementación de la CURP biométrica es realmente necesaria para los ciudadanos mexicanos y que sus beneficios superan los riesgos involucrados.

Es fundamental transparentar toda la información relevante, incluyendo contratos, criterios de selección y posibles conflictos de interés, publicándolos en el Diario Oficial de la Federación y en plataformas de transparencia accesibles al público. Asimismo, se deben realizar auditorías independientes, contratando firmas especializadas en ciberseguridad y colaborando con instituciones académicas para revisar continuamente la infraestructura de datos.

Para proteger la privacidad de los usuarios, se recomienda implementar tecnologías avanzadas como las zero-knowledge proofs, además de establecer un marco legal que prohíba cualquier uso secundario de los datos sin el consentimiento explícito de los ciudadanos. La inclusión debe ser una prioridad, diseñando interfaces accesibles y ofreciendo alternativas para quienes no puedan acceder a medios digitales.

Finalmente, es crucial establecer mecanismos claros de rendición de cuentas mediante la creación de un comité independiente integrado por representantes de la sociedad civil, expertos en ciberseguridad y académicos. Además, se deben garantizar recursos legales efectivos, como el derecho a amparo, para proteger los derechos de los ciudadanos.

Los ciudadanos deben demandar transparencia y explicaciones precisas en torno a los procesos de contratación, las políticas de protección de datos y los mecanismos de gobernanza, con el propósito de garantizar que la CURP biométrica se enfoque en el interés público, evite convertirse en un instrumento de control o exclusión, y cumpla con los más altos estándares de seguridad para enfrentar tanto amenazas internas como externas.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599

**Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.