CDMX, 18 de agosto de 2025.- A partir de enero de 2026, todas las personas físicas deberán contar con una CURP biométrica como requisito obligatorio para trámites en bancos, instituciones gubernamentales, de salud, seguridad o justicia. La reforma fue oficializada el 16 de julio de 2025 mediante decreto publicado en el Diario Oficial de la Federación, y establece que este nuevo documento incluirá huellas dactilares, escaneo de iris, fotografía y firma electrónica, tanto en formato físico y digital.
Aunque su objetivo es reforzar la autenticidad de la identidad ciudadana y combatir la desaparición forzada, la implementación también plantea preocupación, ya que se deberá buscar cómo evitar que una base de datos se convierta en un blanco para el cibercrimen debido a que México enfrenta una intensa actividad de delincuencia digital.
Según Fortinet, durante el primer trimestre de 2025, se registraron más de 35 mil millones de intentos de ciberataques; 270 mil intentos por minuto. Además, en 2024 se reportaron 324 mil millones de ataques, situando al país como el principal blanco de América Latina.
La adopción de la CURP biométrica no es solo un trámite administrativo, implica operar con cifrado de extremo a extremo, segmentación lógica de bases de datos y monitoreo de accesos en tiempo real.
“Es una buena idea, pero con un riesgo mayúsculo, ya que, si esa información se filtra, no es algo que tú puedas cambiar como tu identificación”, advirtió Ricardo Darling, vicepresidente de Ciberseguridad en C3ntro Telecom. Organismos como la Red en Defensa de los Derechos Digitales (R3D) y el Instituto de Investigaciones Jurídicas de la Universidad Nacional Autónoma de México (UNAM) han advertido que, sin un marco legal sólido ni una infraestructura de seguridad robusta, la centralización de datos biométricos podría derivar en vigilancia indebida, suplantación de identidad o filtraciones irreversibles.
Para Darling, el reto no se limita a la tecnología: “Si el Gobierno no implementa elementos de seguridad que permitan almacenar los datos de manera segura, confiable y que mantengan la confidencialidad e integridad debida dentro de la base de datos, y en torno a ello no construimos una serie de procesos y legislaciones que nos permitan asegurar que quien maneje la base esté bien preparado, seguramente puede haber suplantaciones serias de identidad.”
¿Las empresas están preparadas para garantizar privacidad, cumplimiento normativo y continuidad operativa?
Darling reconoce que la CURP biométrica está diseñada para ser difícil de vulnerar. Sin embargo, advierte que un ataque exitoso a un sistema que contenga la información de todos los mexicanos sería un riesgo de impacto masivo.
Para ello, además de recomendar una planeación anticipada que involucre infraestructura segura, procesos claros y una cultura corporativa consciente, el vicepresidente de Ciberseguridad en C3ntro Telecom brinda otros consejos con la finalidad de que las compañías puedan blindar la información y establecer estándares de ciberseguridad.
Implementar cifrado extremo a extremo: Asegura que la información esté protegida desde su captura hasta el almacenamiento final. Una aseguradora que use cifrado en tránsito y reposo, como el que ofrecen plataformas cloud empresariales con estándares internacionales, reducirá la posibilidad de que datos interceptados sean legibles.
Segmentar la información sensible: Dividir la base de datos en módulos independientes. Por ejemplo, almacenar huellas dactilares en un servidor aislado y datos personales en otro limita el impacto en caso de una filtración. Este enfoque puede apoyarse en arquitecturas de red avanzadas como SD-WAN, que permiten aislar el tráfico crítico del resto de la operación.
Reforzar autenticación y control de accesos: La autenticación multifactor para trabajadores con acceso a la información, combinando contraseñas robustas con tokens físicos o validaciones biométricas internas, es una opción, así como implementar doble verificación cada vez que un colaborador intente entrar a labase de datos de clientes.
Auditar y monitorear en tiempo real: Utilizar herramientas de monitoreo que generen alertas automáticas si un usuario accede a información fuera de su horario habitual o desde una ubicación inusual. Las soluciones con analítica avanzada permiten identificar patrones de comportamiento anómalos antes de que el ataque escale.
Capacitar al personal: No basta con tecnología, se debe buscar que los colaboradores sepan identificar riesgos como phishing o ingeniería social. Simulacros y entrenamientos periódicos fortalecen la primera línea de defensa.
La llegada de la CURP biométrica marca un punto de inflexión en la gestión de identidad en México. Si bien promete reforzar la autenticación y reducir fraudes, también exige que las empresas eleven sus estándares de seguridad.
Integrar cifrado avanzado, segmentación de red, monitoreo inteligente y capacitación constante permitirá cumplir con la ley y proteger la confianza de clientes y socios. En un entorno donde los datos no se pueden cambiar, la prevención es la defensa más sólida.