Seguridad de los datos biométricos frente a la digitalización

5 agosto, 2025

CURP, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

El gobierno ha propuesto recientemente una nueva versión de la CURP (Cuenta Única de Registro Poblacional) con datos biométricos que funcionaría como una identificación nacional digital.[1] Esta nueva versión busca agilizar y simplificar los trámites gubernamentales al convertirse en la única fuente de identidad de los ciudadanos.

El lograr plenamente la identificación del ciudadano para un trámite de gobierno, en realidad no es algo nuevo, esto fue implementado por el Servicio de Administración Tributaria desde hace dos décadas con la firma electrónica, y a pesar de que 12.8 millones de ciudadanos cuentan con ella, algunos aún no logran comprender del todo su funcionamiento y sobre todo el riesgo que tiene si no realiza acciones que garanticen su seguridad y eviten el mal uso que se puede hacer de ella, si cualquier persona obtiene la llave y el certificado.

[1] Ley Nacional para la Eliminación de Trámites Burocráticos, publicada en el Diario Oficial de la Federación el 16 de julio de 2025.- Artículo 67. Cuando la CURP tenga asociados los datos biométricos de su titular, tendrá el carácter de documento nacional de identificación, y será una identificación oficial. En este caso, los Sujetos Obligados y particulares de cualquier naturaleza tienen la obligación de aceptarla para todos los Trámites y Servicios, por lo que no se podrá solicitar algún otro documento de identificación adicional.

Detrás de estas modernas tecnologías para acreditar la identidad de las personas está la recopilación de los datos biométricos, siendo estos las características físicas, fisiológicas o conductuales únicas de cada individuo que permiten su identificación, como son:

Huellas dactilares
Reconocimiento facial
Escaneo de iris o retina
Voz
Geometría de la mano

No obstante que la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, no señala que los datos biométricos sean datos sensibles[2], estos pueden serlo si revelan información que pueda llevar a discriminación, como origen étnico o información sobre la salud.

Ahora bien, en los últimos años, algunas empresas privadas han hecho uso de los datos biométricos de la ciudadanía con diferentes fines, ya sea para el control de seguridad de los accesos a edificios o instalaciones, para la apertura de cuentas bancarias y banca digital, identificación de paciente y beneficiarios a servicios de salud, deben atender a las mejores prácticas para garantizar la seguridad de los datos personales ya sea que se trate de datos biométricos o no.

[2] Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, publicada en el Diario Oficial de la Federación el 20 de marzo de 2025, art. 3, fracción X: Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para ésta. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.

Para tales efectos la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece los lineamientos, las políticas, y la normatividad de aplicación obligatoria para garantizar la seguridad de los datos biométricos de los ciudadanos, así como las sanciones a su incumplimiento.

Aunque la biometría ofrece seguridad avanzada, no está exenta de amenazas como son:

Suplantación de identidad mediante huellas falsas,
Ataques de presentación y repetición usando artefactos o copias digitales,
Sabotaje de sensores biométricos
Intercepción de datos en tránsito,
Fugas de bases de datos centralizadas con información biométrica

Por lo tanto, es importante que las empresas además de contar con un aviso de privacidad de datos personales también realicen otro tipo de acciones para mitigar riesgos, por lo que se recomienda contar con:

Tecnologías de protección

Cifrado avanzado de datos biométricos en reposo y en tránsito
Verificación de vivacidad para evitar suplantaciones
Blockchain para descentralizar el almacenamiento y evitar puntos únicos de fallo

Buenas prácticas organizacionales

Implementar doble factor de autenticación
Limitar el acceso a datos biométricos a personal autorizado
Realizar auditorías periódicas de seguridad
Evitar el almacenamiento innecesario de datos biométricos
Usar redes seguras para transmisión de datos

La biometría representa una revolución en la autenticación digital, pero también plantea desafíos éticos, técnicos y legales. Su implementación debe estar acompañada de infraestructura robusta, normativas claras y medidas de seguridad proactivas.

En Digital Signature somos expertos en innovación digital, conocemos a fondo los procesos de recopilación de biométricos, seguridad de la información, así como la implementación de la normatividad en la materia. ¡No pongas en riesgo la información de tus clientes y de tu negocio, contáctanos!

Autor: María Dolores Salas Reyes, Asociada de Digital Signature