El Senado aprobó este 24 de junio de 2025 una reforma que marcará un antes y un después en la manera en que los ciudadanos se identifican ante el gobierno. Se trata de la Ley Nacional para Eliminar Trámites Burocráticos, la cual establece como obligatoria la implementación de Llave MX, una plataforma digital que concentrará información personal y biométrica de toda la población, así como la creación de una CURP que tendría datos como huellas, rostro, iris y firma electrónica.
Aunque sus impulsores afirman que esta nueva identidad digital servirá para agilizar trámites, combatir la corrupción y ahorrar tiempo a los ciudadanos, no todos comparten el optimismo. Especialistas en ciberseguridad han encendido las alarmas: aseguran que esta medida, más que modernizar, podría abrir la puerta a una crisis de privacidad, vigilancia masiva y vulneraciones sin precedente.
“Improvisada y sin respaldo técnico”: Víctor Ruiz lanza advertencia
En entrevista con Publimetro México, Víctor Ruiz —fundador de SILIKN y referente en temas de ciberseguridad— fue contundente: “Llave MX es una plataforma frágil y vulnerable”, construida sin sustento técnico real ni validación de expertos. Según el especialista, el gobierno ha promovido esta transformación digital sin contar con los mínimos estándares que garanticen su seguridad, lo que compromete tanto su legitimidad como su efectividad.
Ruiz cuestiona que se haya lanzado un sistema que concentrará datos tan sensibles sin haber sido probado rigurosamente, y sin contar con una ley robusta de ciberseguridad que respalde su operación. “Lejos de transmitir confianza, esta iniciativa genera más dudas que certezas”, advirtió.
“La puesta en marcha de esta iniciativa —al igual que otras medidas anunciadas por distintas instancias del gobierno bajo el argumento de fortalecer la ciberseguridad— provoca más dudas y preocupaciones que certezas sobre una verdadera protección ciudadana”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
México: el país más atacado de América Latina en 2024
El contexto no ayuda. De acuerdo con la unidad de investigación de SILIKN, México se consolidó en 2024 como el país más atacado cibernéticamente de toda América Latina. Ese año se registraron más de 31 mil millones de intentos de ciberataques. Las plataformas gubernamentales fueron de los blancos más frecuentes. Tan solo en 2024, como reportó Publimetro México, la plataforma Llave CDMX fue vulnerada, dejando expuestos datos de más de 6.3 millones de personas.
El nuevo sistema de Llave MX, al centralizar CURP biométrica, escaneo de iris, rostro y firma digital de millones de ciudadanos, se convierte en un blanco extremadamente atractivo para redes criminales. Y, a diferencia de una contraseña que puede cambiarse, no hay forma de reemplazar tu rostro o tus huellas si son robadas.
¿Modernización o vigilancia masiva?
Además del riesgo técnico, organizaciones de derechos digitales advierten que este modelo puede facilitar formas de vigilancia estatal sin precedentes. Con la ley aprobada, el gobierno tendrá acceso a historiales médicos, patrimoniales, escolares y financieros de la población, sin que se mencione la necesidad de una orden judicial o supervisión independiente.
Esto cobra especial relevancia al recordar el intento de implementar el PANAUT —el fallido registro de usuarios de telefonía móvil—, que pretendía obligar a la población a vincular su línea telefónica con datos biométricos. Para muchos, la combinación de ambas iniciativas pone en jaque el derecho a la privacidad y el principio de presunción de inocencia.
Sin ley de ciberseguridad ni presupuesto real
A pesar de las advertencias, México aún no cuenta con una ley integral de ciberseguridad. Mientras países como Estados Unidos y los miembros de la Unión Europea han desarrollado normativas estrictas y protocolos multilaterales para proteger los datos digitales, en México el vacío legal persiste. Tampoco hay presupuesto suficiente: entre 2019 y 2023, el gasto público en Tecnologías de la Información creció apenas un 3% anual, mientras que el número de trámites digitales se disparó más de 50%.
Esta combinación —tecnología sin blindaje, legislación débil y presión política por digitalizar todo— convierte a México en un entorno ideal para bandas de ransomware, grupos patrocinados por gobiernos extranjeros, infostealers, insiders y redes criminales que operan desde la dark web.
El costo de una filtración: irreversible
Un ataque exitoso a Llave MX —como ocurrió con Llave CDMX— podría tener consecuencias devastadoras. No solo se expondrían datos personales y financieros, sino también información biométrica que, por definición, es irremplazable. Una filtración de este tipo sería una herida permanente en la seguridad de millones de ciudadanos.
En México, ya hemos visto lo que ocurre cuando los sistemas fallan. Desde los ataques a Sedena y Pemex hasta las filtraciones en dependencias como la Consejería Jurídica de la Presidencia, los antecedentes no solo existen, sino que se repiten con frecuencia.
