Registro biométrico telefónico en México: prueba de estrés para la infraestructura digital

Tratamiento de datos biométricos y responsabilidades legales

Gloria Martínez, consejera del despacho Von Wobeser y Sierra, comentó en entrevista que este enfoque representa más una redistribución política de responsabilidades que un verdadero rediseño de riesgos, pues se traslada la obligación de proteger los datos sensibles a los proveedores.

“Antes, el gobierno operaba la base; ahora dicen que ya no tiene la obligación, pero las plataformas se conectan a RENAPO y Gobernación. Ellos sí van a almacenar tus datos biométricos”, afirma. Desde su perspectiva, el discurso oficial que minimiza la intervención estatal no resiste un análisis jurídico serio.

La abogada subraya un punto clave que suele quedar fuera del ojo público y es que, aunque los operadores no conserven físicamente los biométricos, el simple acto de validarlos constituye tratamiento de datos personales. “Tratamiento no es solo almacenar. Es usar, verificar, consultar. El hecho de que los sistemas obtengan los datos, aunque sea por segundos, ya es tratamiento. Decir que no se almacenan no elimina la invasión a la privacidad”, señala Martínez. Esta distinción es vital, ya que define las obligaciones legales y amplía el perímetro de riesgo.

El esquema operativo tampoco está exento de vacíos, debido a que la vinculación se hace con respecto al titular de la línea, no necesariamente con el usuario real, especialmente en un mercado donde millones de dispositivos y líneas cambian de manos dentro de familias, empresas y equipos de trabajo. Así, la trazabilidad queda incompleta.

En personas morales, la situación se agrava al registrarse solo al representante legal, mientras decenas o cientos de empleados utilizan los equipos. La abogada explica que “la trazabilidad no captura al usuario final. Eso, desde el punto de vista de seguridad y responsabilidad, deja muchos huecos”.

A esto se agrega una capa de complejidad adicional con la portabilidad numérica ya que, durante un cambio de operador, un mismo titular puede quedar registrado en dos bases de datos al mismo tiempo. Los lineamientos no establecen con claridad los plazos de eliminación, sincronización ni responsabilidades cuando existen obligaciones legales de conservación. “Puedes estar en dos bases [de datos] a la vez y nadie explica cuándo se elimina la información ni quién responde si algo sale mal”, advierte Martínez.

Capacidad técnica y presión operativa

A estos vacíos estructurales se suma otro reto que parece desproporcionado. De acuerdo con Ernesto Piedras, director de la consultora The Competitive Intelligence Unit (CIU), México cerró 2025 con más de 160 millones de líneas móviles activas. Registrar y vincular ese universo en un plazo aproximado de 172 días implica procesar casi un millón de registros diarios de manera continua.

“Más allá de la voluntad política, se trata de capacidades reales. Infraestructura, data centers, software biométrico, personal capacitado. En esos términos, el plazo luce materialmente imposible”, señala.

Piedras advierte que la presión operativa no es homogénea. Mientras los grandes concesionarios cuentan con músculo financiero y técnico, los operadores móviles virtuales enfrentan cargas desproporcionadas que ponen en riesgo su viabilidad. Desarrollar plataformas, contratar proveedores tecnológicos, realizar pruebas de seguridad y adaptar procesos comerciales en tan poco tiempo puede generar errores sistémicos y distorsiones de mercado.

Ciberseguridad, filtraciones y pérdida de confianza

La fragilidad operativa de esta situación se evidenció temprano, pues, apenas unos días después del inicio formal del registro, comenzaron a circular en redes sociales y foros especializados reportes y denuncias no oficiales sobre presuntas filtraciones o accesos indebidos a información vinculada al nuevo padrón.

Aunque las autoridades desmintieron la existencia de una intrusión directa a la Plataforma Única de Identidad, y no se confirmó técnicamente una vulneración, el episodio encendió las alertas de los usuarios.

Efectividad limitada y costo económico

La aparición temprana de estas versiones, reales o no, fue una llamada de atención, no solo por el riesgo material que implicaría una filtración en fase inicial, sino porque reflejó la baja confianza pública en la capacidad del Estado para resguardar información sensible.

En México, ya con antecedentes recientes de bases de datos gubernamentales expuestas, el surgimiento de rumores resulta creíble incluso sin pruebas concluyentes. La respuesta institucional se limitó a desmentidos generales, sin auditorías independientes visibles ni mecanismos de verificación pública que disiparan las dudas.

Sin embargo, en sistemas biométricos de gran escala, la transparencia es tan importante como la seguridad técnica, según coinciden los especialistas. Sin protocolos claros de comunicación de incidentes, sin obligaciones legales de notificación y sin sanciones contundentes cualquier señal de posible filtración erosiona la confianza de los usuarios desde el arranque. La concentración de datos biométricos convierte al sistema en un objetivo inmediato para el mercado negro y toda debilidad, tanto técnica como comunicacional, amplifica ese incentivo.

El contexto de ciberseguridad agrava el escenario. México se encuentra entre los países con mayor número de ciberataques en América Latina y carece de una ley general de ciberseguridad. Gloria Martínez comenta que, desgraciadamente, “no hay obligación de notificar vulneraciones ni sanciones claras. La rendición de cuentas es mínima y el costo siempre lo termina pagando el ciudadano”, por lo que centralizar biométricos sin un marco legal robusto multiplica los riesgos.

Un punto adicional es que la efectividad del padrón para combatir la extorsión resulta cuestionable. Una gran parte de estas llamadas se origina en cárceles, o mediante servicios transfronterizos como VoIP y eSIM internacionales. “Si realmente se quiere combatir la extorsión, hay otras formas. El problema está en las cárceles y en llamadas del extranjero. Vincular líneas nacionales no ataca el origen”, señala Martínez.

El impacto económico tampoco es marginal. Cada registro tiene un costo estimado de alrededor de 3,7 pesos, que en conjunto representa cientos de millones de pesos. Ernesto Piedras advierte que este gasto terminará trasladándose a los usuarios vía tarifas o menores inversiones en infraestructura. En un mercado como el mexicano, ya concentrado, el efecto puede profundizar desigualdades y frenar despliegues de red.

A esto se suma el contexto internacional, pues México se encuentra en plena revisión del Tratado de Libre Comercio con Canadá y Estados Unidos (T‑MEC), lo que coloca al sector de telecomunicaciones bajo escrutinio en temas de infraestructura crítica y manejo de datos. Tener un padrón biométrico masivo, con acceso privilegiado a instancias penales y antecedentes de filtraciones, incrementa la sensibilidad del tema frente a socios comerciales.

El tema converge desde distintos frentes:

• Desde la parte operativa y de calendario, imponer plazos irreales solo garantiza errores, saturación y suspensiones indebidas.
• En cuanto a la parte jurídica y estructural, el problema es no tener una ley de ciberseguridad, sin auditorías independientes y sin límites claros de acceso, lo que hace que el padrón amplíe la superficie de ataque y vulnere derechos.

El registro telefónico mediante CURP biométrica podría convertirse en un cimiento de identidad digital moderna si se construyera sobre bases técnicas sólidas, calendarios realistas, transparencia y protección efectiva de datos. Sin embargo, en su estado actual, avanza sobre un terreno frágil.

Para los expertos, más que una herramienta eficaz contra el delito, el nuevo registro corre el riesgo de convertirse en un nuevo episodio de exposición masiva de información y pérdida de confianza digital, justo en un momento en que el país necesita instituciones tecnológicas creíbles.