Durante años, cada vez que una empresa mexicana quería confirmar que alguien era quien decía ser, pedía más papeles. Más copias, más validaciones, más datos. El gobierno federal acaba de cambiar esa lógica de raíz. El 16 de julio de 2025 se publicó en el Diario Oficial de la Federación el decreto que reforma la Ley General de Población para incorporar fotografía, huellas dactilares y escaneo de iris al registro nacional de identidad, convirtiendo a la CURP en un documento biométrico. Desde entonces, México transita hacia un modelo donde una sola clave, respaldada por datos que no se pueden cambiar como se cambia una contraseña, se convierte en la puerta de entrada a salud, banca, educación y programas sociales.
Como consultores de ciberseguridad, no vemos esto solo como una noticia de gobierno. Lo vemos como lo que realmente es: la construcción de uno de los activos digitales más valiosos y más atacables del país.
Qué está pasando exactamente
El despliegue ha sido gradual. La fase piloto arrancó en octubre de 2025 en estados como Veracruz, Ciudad de México y Estado de México. En enero de 2026 se abrió el trámite a nivel nacional en módulos del Registro Civil y RENAPO, y desde febrero de 2026 la CURP biométrica se proyecta como el documento de identificación oficial en trámites de salud, banca, educación y programas sociales (El Financiero).
Aquí aparece la primera fuente de confusión, y vale la pena aclararla porque afecta directamente cómo debe prepararse tu empresa. La secretaria de Gobernación y la propia presidenta Claudia Sheinbaum han insistido en que tramitar la CURP biométrica es voluntario para el ciudadano (Milenio). Pero el decreto no es igual de flexible con las instituciones. El artículo 91 Sexies de la Ley General de Población obliga a cualquier entidad pública o privada a solicitar esta clave para prestar trámites y servicios, y el artículo 114 Bis contempla multas de entre 10,000 y 20,000 veces el valor diario de la UMA, es decir, entre 1.17 y 2.34 millones de pesos, para quien la rechace (Fox Sports México).
En otras palabras: el ciudadano puede decidir si tramita su CURP biométrica. Tu empresa no puede decidir si la acepta.
El beneficio real, sin exagerarlo
Es justo reconocer por qué el gobierno está haciendo esto. México vive un problema serio de suplantación de identidad. El fundamento detrás de la CURP biométrica es reducir el fraude documental, mejorar la interoperabilidad entre bases de datos públicas y privadas, y fortalecer herramientas como la Alerta Nacional de Búsqueda de personas desaparecidas, que ya se beneficia de cruces de información biométrica (Milenio).
Para el sector privado, en teoría, esto también simplifica procesos. Un onboarding bancario, una inscripción escolar o una verificación de identidad para una fintech podrían volverse más rápidos y menos propensos al fraude documental clásico, el de actas alteradas o identificaciones falsificadas con Photoshop. Ese es el argumento de fondo, y no es menor.
El problema es que ese beneficio depende de una condición que México todavía no ha resuelto: que la infraestructura que resguarda esos datos sea tan robusta como el uso que se le quiere dar.
El reto que ningún comunicado de prensa menciona
Aquí es donde nuestro trabajo diario con clientes nos obliga a ser francos. El 30 de enero de 2026, un grupo de cibercriminales conocido como Chronus filtró 2.3 terabytes de información correspondientes a 25 instituciones públicas mexicanas, afectando a un estimado de 36.5 millones de personas. Entre los datos expuestos había 3.1 millones de registros validados ante RENAPO, y fotografías biométricas junto con RFC y cédulas profesionales de 95,000 agentes registrados en la Comisión Nacional de Seguros y Fianzas (ejecentral).
Un solo repositorio, un solo blanco
Lo que este incidente confirma, y que en OCD Tech México venimos advirtiendo desde hace tiempo, es un principio básico de arquitectura de seguridad: concentrar cada vez más información sensible en un solo repositorio no elimina el riesgo, lo acumula. La CURP biométrica y proyectos como Llave MX están construyendo, sin decirlo abiertamente, un punto único de falla. Entre más valiosa y centralizada es una base de datos, más atractiva se vuelve para un atacante, y más devastador es el impacto si algo sale mal.
No es la primera vez
Y esto no es un caso aislado ni un temor hipotético. Desde 2019 han circulado en foros de hackers bases de datos con información biométrica de mexicanos vinculada al INE. En noviembre de 2024, un vendedor bajo el alias AKA_Astaroth ofreció acceso a casi 100,000 registros con imágenes de iris, huellas dactilares y credenciales de elector completas, por mil dólares (Publimetro). Meses antes, el propio INE había denunciado ante la Fiscalía la existencia de una red que aseguraba vender datos biométricos de más de 100 millones de mexicanos.
Una huella no se puede resetear
Esta es la parte que como especialistas nos preocupa más. La diferencia entre una contraseña filtrada y una huella dactilar filtrada es que la primera se cambia. La segunda es tuya para siempre. Cuando un dato biométrico se compromete, no hay manera de “resetearlo”. Por eso la conversación no debería ser solo qué tan conveniente es la CURP biométrica, sino qué tan preparada está la infraestructura que la sostiene para resistir el nivel de ataque que ya estamos viendo en México, donde solo en 2025 se registraron más de 85 mil millones de intentos de ciberataque, según cifras reportadas en medios especializados (MobileTime).
Lo que esto significa para tu empresa, no solo para el gobierno
Si tu empresa está en fintech, banca, salud, educación o cualquier sector que reciba la CURP biométrica como identificación válida, esto no es un tema que puedas delegar por completo al gobierno. Tres cosas que conviene resolver antes de que la exigencia práctica llegue a tu operación:
Ya eres parte de la cadena de riesgo
Aceptar la CURP biométrica implica también resguardar, aunque sea temporalmente, datos biométricos de tus clientes o empleados. Eso te convierte en parte de la cadena de riesgo, no en un espectador. Las mismas obligaciones de cifrado, segmentación y control de acceso que fallaron en instituciones públicas aplican, con más razón, a cualquier empresa privada que procese este tipo de información.
No dependas de un solo documento
Revisa si tu proceso de verificación de identidad depende de un solo documento o de múltiples factores. En OCD Tech México recomendamos avanzar hacia modelos de autenticación robusta y verificación por capas, donde ningún proceso crítico dependa de un único dato o documento, por más oficial que sea. Apostar todo a un solo identificador centralizado, biométrico o no, es repetir el mismo error de diseño que ya le ha costado caro a instituciones mexicanas.
La fecha límite la marca el atacante, no el gobierno
Lo decimos con la misma calma con la que lo diríamos en una reunión con cualquier cliente: la fecha límite real no la marca el gobierno, la marca el primer atacante que decida probar tus sistemas. La obligatoriedad legal ya existe. La pregunta que debería estar sobre la mesa de cualquier dirección de TI o de cumplimiento es si la empresa está lista para aceptar, procesar y proteger este tipo de dato, o si va a improvisar cuando el primer cliente llegue con su CURP biométrica en mano.
El punto medio que nadie quiere admitir
La CURP biométrica no es mala idea porque busque reducir el fraude de identidad. Es una idea incompleta porque avanza más rápido que la infraestructura de seguridad que necesita para sostenerse. Eso no es una opinión aislada, es lo que ya demostró el incidente de enero de 2026, y es lo que seguirá demostrando cada nueva filtración mientras la conversación pública se centre en la obligatoriedad y no en la resiliencia técnica detrás del sistema.
Para las empresas mexicanas, el reto no es esperar a ver qué hace el gobierno. Es asumir, desde ahora, que cualquier dato biométrico que toque tu operación necesita el mismo nivel de protección que le exigirías a tu información financiera más sensible. Porque a diferencia de una tarjeta de crédito, una huella dactilar comprometida no se cancela ni se reemite.

Leave a Reply
Your email is safe with us.