La implementación de la CURP biométrica en México, anunciada oficialmente en el Diario Oficial de la Federación el pasado 16 de julio, marca un paso importante hacia la digitalización de servicios gubernamentales. Sin embargo, este avance tecnológico también plantea desafíos relevantes en materia de ciberseguridad y protección de datos personales, de acuerdo con IQSEC.
Según el gobierno federal, la iniciativa busca transformar la Clave Única de Registro de Población (CURP) en un identificador con elementos biométricos, elevando los estándares de verificación de identidad.
No obstante, la firma especializada en identidad digital y seguridad informática mencionó que para garantizar su funcionamiento seguro y confiable, debe asegurarse la protección de la base de datos central, una seguridad a lo largo del ciclo de vida de la identidad y un consumo seguro de la CURP biométrica.
Sobre el primer punto, mencionó que el resguardo de datos personales y biométricos que compondrán la CURP biométrica es uno de los elementos más críticos, por lo que deben estar debidamente cifrados y segmentados para evitar asociaciones indebidas que puedan facilitar ataques o suplantación de identidad.
En ese sentido, la firma recomendó la implementación de cifrado avanzado y mecanismos de aislamiento de datos como parte del diseño del sistema.
Por otro lado, expuso que desde el momento del registro inicial hasta su uso en trámites y servicios electrónicos, la CURP biométrica debe estar respaldada por medidas de seguridad continuas. Esto implica autenticación multifactor, procesos de verificación robusta y monitoreo constante para prevenir fraudes, accesos no autorizados o pérdida de datos.
IQSEC también resaltó la necesidad de que tanto instituciones públicas como privadas accedan y validen la CURP a través de canales seguros, que cuenten con cifrado y autenticación, minimizando así los riesgos de vulnerabilidad en el proceso de consulta.
Estándares internacionales y cifrado postcuántico
Asimismo, Alicia Trejo, Gerente Ciber Legal de IQSEC, subrayó la importancia de adoptar marcos internacionales como OpenID for Verifiable Credentials (OpenID4VC) y la norma ISO/IEC 18013-5 mDL, los cuales facilitan el desarrollo de credenciales digitales interoperables y el control del usuario sobre su propia información. Estas herramientas también promueven el enfoque de privacidad por diseño, integrando la protección de datos desde el inicio del desarrollo tecnológico.
Igualmente, la especialista enfatizó la urgencia de migrar hacia esquemas de cifrado postcuántico y el uso de algoritmos criptográficos más robustos, con el objetivo de anticipar y mitigar riesgos emergentes asociados al avance de la computación cuántica.
Además, ante el aumento en los casos de suplantación de identidad tanto a nivel nacional como global, IQSEC propuso la implementación del modelo de seguridad Zero Trust, así como el fortalecimiento de herramientas para detectar y prevenir el uso de tecnologías como los deepfakes.
“La combinación de autenticación multifactor, cifrado sólido y principios de seguridad de confianza cero permite reducir significativamente la superficie de ataque y proteger la identidad digital de los ciudadanos”, concluyó Alicia Trejo.
er





