Mientras hackers toman control de servidores públicos con total impunidad, el gobierno mexicano pretende centralizar los datos biométricos de todos los ciudadanos.
Carlos Lozano
El gobierno mexicano está por poner en marcha un ambicioso proyecto: emitir una nueva CURP con fotografía y datos biométricos como la huella digital y posiblemente el iris o el rostro, con la promesa de mejorar la identificación ciudadana. Sin embargo, esta iniciativa se da en el peor momento posible: justo cuando la evidencia acumulada muestra que el Estado mexicano es incapaz de proteger ni sus propios sistemas más básicos.
Entre el 1 y el 12 de abril de 2025, el analista en ciberseguridad Israel Villaseñor (@ivillasenor) documentó una cadena de ataques informáticos que expusieron la absoluta vulnerabilidad de las plataformas gubernamentales mexicanas. En apenas 30 días, los hackers conocidos como Drakonov y c4t lograron vulnerar 13 gobiernos estatales y municipales, desde la capital del país hasta municipios en Tamaulipas, Guanajuato y Baja California.
Y lo más grave: ninguna autoridad lo reportó oficialmente. Nadie asumió responsabilidades. Nadie hizo nada.
Casos alarmantes, silencio absoluto
Uno de los ataques más ilustrativos ocurrió el 1 de abril de 2025, cuando Drakonov tomó el control total del servidor central de la Fiscalía General de Justicia de Michoacán, modificando más de veinte páginas sin ser detectado. La Fiscalía ni siquiera se enteró a tiempo del incidente, y sólo se supo gracias a la investigación independiente de Villaseñor, quien publicó un artículo detallado en Código Espagueti.
Días después, el 3 de abril, el mismo analista reveló que en menos de dos semanas habían sido hackeados los sitios web de los gobiernos de CDMX, Baja California Sur, Morelia, Puebla y Cancún. Se trató de defacements —modificaciones visibles de los portales oficiales— pero lo preocupante no es solo el cambio estético: los atacantes tuvieron acceso total a los servidores, lo que implica la capacidad de robar bases de datos, modificar contenidos o instalar malware persistente.
El 11 de abril, Villaseñor reveló que el hacker Drakonov había vulnerado el servidor del gobierno municipal de Tijuana, incluyendo portales tan delicados como los de la Policía, Bomberos, DIF, Desarrollo Social y Movilidad. No solo eso: el servidor comprometido utilizaba Windows Server 2008, un sistema operativo abandonado por Microsoft desde 2020, sin parches de seguridad disponibles desde hace cinco años.
¿Qué hizo el gobierno? Borró la firma del hacker y calló.
Cadena de incompetencia digital
A lo largo del mes, los ataques continuaron: Coahuila, Reynosa (Tamaulipas), Abasolo (Guanajuato) y otros gobiernos locales se sumaron a la lista de vulnerados. En total, al menos 13 entidades fueron hackeadas en menos de 30 días, mientras la administración federal guarda silencio. Esta cadena de incidentes muestra un patrón claro:
- Sistemas obsoletos (como el ya mencionado Windows Server 2008).
- Falta total de monitoreo en tiempo real.
- Ausencia de protocolos de contención y respuesta.
- Cero transparencia.
- Y lo más preocupante: ninguna intención de corregir el rumbo.
Villaseñor no habla de suposiciones: publica capturas, mirrors en Zone-H, enlaces a pruebas verificables y análisis técnicos que explican cómo se perpetraron los ataques. Sus hallazgos revelan no sólo la facilidad con la que los hackers acceden a los sistemas, sino la completa indolencia institucional para corregir estas fallas críticas.
¿Y ahora quieren nuestros biométricos?
En este contexto, el anuncio de que el gobierno federal planea emitir una nueva CURP con datos biométricos resulta no solo ilógico, sino peligrosamente irresponsable. Los datos biométricos —huellas, rostro, iris, firma digital— no son como una contraseña que puedes cambiar si se filtra. Si estos datos caen en manos criminales, la identidad del ciudadano queda comprometida de forma permanente.
Y sin embargo, este mismo gobierno que no puede proteger una simple página de un ayuntamiento, que mantiene operativos servidores de hace más de una década, pretende construir un sistema nacional centralizado con las identidades digitales de millones de mexicanos.
No se trata de estar en contra de la modernización de la identificación nacional. Se trata de exigir responsabilidad, planeación y garantías mínimas de seguridad antes de entregar a un Estado negligente nuestra identidad más íntima.
Las consecuencias: de la suplantación al control social
Las consecuencias de esta imprudencia pueden ser graves:
- Suplantación de identidad: Una base de datos biométrica comprometida permitiría a grupos criminales falsificar documentos oficiales, cometer fraudes o incluso incriminar a ciudadanos inocentes.
- Extorsión y vigilancia: En un país donde la corrupción institucional es frecuente, los datos biométricos podrían ser usados con fines políticos, de persecución o chantaje, especialmente contra periodistas, activistas o disidentes.
- Desconfianza institucional: Cuando los ciudadanos ven que ni los servidores del DIF o la policía están protegidos, la confianza en el Estado se desmorona. Un sistema de identidad nacional debería construirse con legitimidad, no con miedo.
- Filtración masiva e irreversible: A diferencia de los ciberataques a bancos o redes sociales, un “leak” de la base de datos biométrica nacional no tiene marcha atrás. El daño sería permanente.
¿Qué debería hacer el Estado?
Antes de pedir datos biométricos, el gobierno debería:
- Auditar todos los servidores del país, federales y locales.
- Actualizar urgentemente los sistemas obsoletos.
- Contratar expertos reales en ciberseguridad, no improvisados.
- Implementar una política nacional de protección de datos con mecanismos de transparencia.
- Rendir cuentas públicas cada vez que ocurre un ataque, no esconderlo.
Solo entonces se podrá abrir el debate sobre el uso de biometría en la identidad oficial. Hasta entonces, exigir nuestra CURP con huella y foto no es un acto de gobernanza, es una temeridad autoritaria.