Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

CURP Biométrica: Riesgos Tras La Licitación Fallida

Escrito por Scarlet Mendoza | Sep 17, 2025 4:58:14 PM

En los últimos meses, seguramente escuchaste hablar de la CURP biométrica, un proyecto del gobierno mexicano que busca modernizar el sistema de identificación ciudadana. La idea es integrar datos biométricos como rostro, huellas digitales, iris y firma en una única clave, con la promesa de hacer más ágil y segura la identificación de millones de personas.

Sin embargo, lo que parecía un paso decisivo hacia la digitalización nacional acaba de sufrir un traspié: la primera licitación pública para contratar los servicios de nube que soportarían este sistema fue declarada desierta.

En TecnetOne analizamos qué significa este fracaso, cuáles son los riesgos y qué escenarios se abren de aquí en adelante.

 

¿Qué pasó con la licitación?

 

La Secretaría de Gobernación (Segob) lanzó una convocatoria para contratar servicios integrales de administración y operación de cómputo en la nube destinados al Registro Nacional de Población e Identidad (Renapo), pieza clave para la CURP biométrica.

El presupuesto asignado no era menor: hasta 520 millones de pesos multianuales para garantizar capacidad de cómputo, almacenamiento, redes y, sobre todo, altos estándares de ciberseguridad.

Dos consorcios se presentaron:

 

  1. Triara.Com, Uninet y Scitum.

 

  1. B Drive It, S.A. de C.V.

 

El problema: ninguno cumplió con los requisitos técnicos de la convocatoria. La consecuencia: el concurso se declaró desierto el 3 de septiembre de 2025.

Esto no solo retrasa la consolidación de la infraestructura en la nube, sino que también pone en riesgo el calendario del proyecto, cuya fase piloto ya funciona en un módulo de la Ciudad de México de manera voluntaria y gratuita.

 

Las consecuencias del fracaso

 

El tropiezo no es menor, porque la CURP biométrica tiene plazos apretados. La emisión masiva está programada para enero de 2026 y su obligatoriedad para febrero del mismo año.

Si la siguiente licitación también fracasa, la Segob enfrentará:

 

  1. Retrasos considerables en la modernización del Renapo.

 

  1. Costos adicionales derivados de replantear bases y procesos.

 

  1. Revisión política y administrativa mucho más rigurosa.

 

Un tercer intento fallido abriría la puerta a auditorías de la Auditoría Superior de la Federación (ASF), además de críticas por deficiencias en la planeación. Incluso podría desincentivar la participación de empresas proveedoras en futuras convocatorias, dejando pocas opciones de contratación.

 

Conoce más: Ley de Ciberseguridad en México: Conócela

 

¿Qué caminos alternos tiene el gobierno?

 

Si la Segob no logra adjudicar la licitación mediante concurso público, la ley mexicana ofrece salidas:

 

  1. Adjudicación directa: legalmente viable, siempre que se justifique por motivos de urgencia, seguridad nacional o interés público. El problema es que este mecanismo es altamente vulnerable a cuestionamientos legales, impugnaciones y auditorías, sobre todo cuando se trata de manejar datos biométricos sensibles.

 

  1. Asociaciones público-privadas: podrían dar más margen de maniobra, pero implican procesos complejos y tiempos que probablemente no encajen con los plazos ya comprometidos.

 

  1. Proveedores internacionales: aunque podrían aportar experiencia y tecnología, levantarían debates sobre soberanía tecnológica y control de los datos.

 

  1. Uso de infraestructura temporal existente: posible como solución de emergencia, pero con menor capacidad de garantizar seguridad y privacidad.

 

Transparencia y conflictos de interés

 

Más allá de los plazos, el gran riesgo está en la falta de transparencia. Expertos advierten que cualquier vínculo previo entre funcionarios públicos y representantes de empresas participantes podría convertirse en un conflicto de interés.

La historia de México en proyectos tecnológicos muestra que la adjudicación directa, aunque legal, suele despertar sospechas de corrupción o favoritismo. Además, cuando se manejan datos biométricos de millones de ciudadanos, cualquier irregularidad amplifica las preocupaciones.

 

El riesgo tecnológico y de ciberseguridad

 

La concentración de datos biométricos en un solo sistema es un atractivo gigantesco para los cibercriminales. Basta recordar ataques recientes contra organismos de agua o dependencias federales para entender el nivel de exposición.

Además, la eliminación del INAI como organismo de supervisión independiente deja un vacío que preocupa a especialistas: ¿quién vigilará el correcto manejo de estos datos?

Existen dudas adicionales sobre la intención del gobierno de incorporar tecnología blockchain al proyecto. Aunque esta herramienta promete trazabilidad e inmutabilidad, también tiene debilidades:

 

  1. Vulnerabilidades en contratos inteligentes.

 

  1. Amenazas persistentes avanzadas (APT).

 

  1. Escalabilidad limitada.

 

  1. Riesgos de privacidad si se usan redes públicas.

 

El precedente de Monterrey y la identidad digital

 

Un antecedente importante es el proyecto de identidad digital en Monterrey, implementado mediante adjudicación directa. Si bien resolvió necesidades inmediatas, también mostró los riesgos: falta de supervisión, filtración de datos sensibles y cuestionamientos públicos.

El caso refuerza la idea de que la transparencia no es un lujo, sino un requisito indispensable para proyectos de esta magnitud.

 

Títulos similares: Hackers Amenazan la Seguridad de Instituciones y Gobierno en México

 

Recomendaciones para blindar la CURP biométrica

 

Para que el proyecto gane legitimidad y confianza ciudadana, expertos como los de SILIKN sugieren:

 

  1. Publicar toda la información relevante (contratos, dictámenes técnicos, criterios de selección) en el Diario Oficial de la Federación y plataformas de transparencia.

 

  1. Implementar auditorías independientes, realizadas por firmas especializadas en ciberseguridad.

 

  1. Involucrar a instituciones académicas en la evaluación periódica de la infraestructura.

 

  1. Diseñar marcos regulatorios claros que garanticen protección de datos personales y consentimiento informado.

 

  1. Fortalecer la supervisión externa para evitar que el sistema sea usado con fines políticos o de vigilancia masiva.

 

Lo que está en juego

 

La CURP biométrica no es solo un proyecto tecnológico. Se trata de un sistema de identidad nacional que impactará la vida diaria de millones de personas.

Si se implementa mal, puede convertirse en un arma de doble filo: por un lado, agilizar trámites; por otro, abrir la puerta a ciberataques, fraudes y violaciones de privacidad.

En TecnetOne creemos que el reto no es únicamente técnico, sino también ético, legal y político. La transparencia, la seguridad y la inclusión deben estar en el centro de cualquier decisión que se tome en adelante.
Ver post completo