Una nueva ley ha encendido las alarmas entre los analistas en ciberseguridad, las organizaciones civiles y parte de la oposición. La Cámara de Diputados aprobó este martes una norma que concentra en la Secretaría de Gobernación los Registros Civiles de todo el país, antes jurisdicción de cada uno de los 32 Estados. La parte más polémica de la medida es que la institución controlará también los datos biométricos de los mexicanos: las huellas dactilares, el ADN, la retina, el iris, la voz o los rasgos faciales. El problema, sostienen todos los expertos consultados, es que esto otorga un poder de vigilancia total a un Gobierno con antecedentes de espionaje sobre los sectores críticos de su población como opositores, periodistas o activistas. Los especialistas señalan también que condensar información extremadamente sensible como esta en un mismo espacio la hace más vulnerable a posibles ataques informáticos, robo de identidad y la convierte en una herramienta más de control.
Lo que implica la nueva Ley General de Operación de los Registros Civiles, de acuerdo con Grecia Macías, abogada de la Red en Defensa de los Derechos Digitales (R3D), es que permite al Estado ser “un vigilante constante”. “Acabamos de saber que el Ejército está espiando de manera ilegal con el software Pegasus, y ahora sacas una herramienta más de vigilancia masiva. Pone a la ciudadanía en una situación de peligro y de vulnerabilidad. Es superpeligroso porque las tecnologías de biometría tienen impactos desproporcionados, especialmente, en personas racializadas, migrantes, la comunidad LGBTQ…”.
En un mundo cada vez más digitalizado, los datos biométricos son un arma arrojadiza extremadamente peligrosa. La tecnología es utilizada, por ejemplo, por Gobiernos, bancos y hospitales, en teoría para llevar un registro más completo y garantizar la seguridad de los ciudadanos. Sin embargo, puede convertirse en un boomerang político. “Los datos biométricos representan el nivel más alto de seguridad para un usuario”, explica el analista en ciberseguridad Víctor Ruiz, “pero acumular este tipo de datos es riesgoso para la población”. “En México hemos estado sufriendo ataques que han vulnerado a diferentes dependencias del Gobierno. Si los ciberatancantes saben que hay una dependencia que recopila esta información, puede ser susceptible a un ataque constante”, apunta.
El Gobierno mexicano, además, ha sufrido en los últimos tiempos ataques informáticos que han conducido a ingentes filtraciones de secretos de Estado e información confidencial. El ejemplo más reciente es el hackeo de la organización de hacktivistas Guacamaya a la Secretaría de Defensa (Sedena), que expuso las costuras del Ejército a través de la revelación de más de cuatro millones de correos. “Creo que en este momento el Gobierno no tiene la capacidad para hacer frente a un ciberataque que lleve a la filtración de datos biométricos, le hace falta un plan de ciberseguridad”, sostiene Ruiz.
Hiram Alejandro Camarillo, CEO de la firma especializada en ciberseguridad Seekurity, respalda esta opinión: “Existe una carencia de controles para asegurar esos datos. Con todas las filtraciones que han existido en los sistemas del Gobierno, no hay una forma de que nos puedan asegurar que la información va a estar correctamente protegida. Lo vimos con Sedena, y por la cantidad de información que extrajeron, seis terabytes, [el Estado] no tiene ni capacidad técnica ni tecnológica para poder identificar cuando alguien está extrayendo una cantidad enorme de información”.
El asunto clave que subyace es que, si un único organismo tiene el control total de los datos biométricos de la población, sin controles preestablecidos, la palabra del Estado es la única garantía que existe de que no se vaya a producir una mala utilización de la información. “Esta ley pondría en riesgo el derecho a la privacidad de los mexicanos: otorga amplias facultades a la Secretaría de Gobernación de decidir cuáles son los datos biométricos que las personas tendrán que entregar; cómo y cuándo deberían ser compartidos con entidades públicas y privadas, pero no establece ningún mecanismo para garantizar la protección de los datos o evitar su uso indebido”, afirma Tyler Mattiace, investigador de la organización en defensa de los derechos humanos Human Rights Watch.
Fraudes de identidad, discriminación a comunidades vulnerables y arma de represión
La ley salió adelante con 311 votos a favor de Morena, el PRI, el Partido Verde y el PT; 131 en contra del PAN y Movimiento Ciudadano y 17 abstenciones, en su mayoría del PRD. La Secretaría de Gobernación, presidida por el morenista Adán Augusto López, defendió en un comunicado que la norma “tiene como objetivo garantizar el derecho a la identidad de las personas y el acceso a los servicios que proporciona el Registro Civil”. En la práctica, implica crear un registro único para cualquier acto jurídico que realice en su vida una persona: nacer, tener un hijo, casarse, divorciarse, comprar una casa e incluso morirse. Con cada evento, un ciudadano tendrá que proporcionar sus datos básicos (nombre, apellido, dirección…) y, además, los biométricos.
EL PAÍS ha consultado a la Secretaría de Gobernación sobre las implicaciones de la norma, pero la entidad ha declinado responder.
Uno de los agujeros negros de la ley, argumenta Grecia Macías, es que la Secretaría podrá compartir los datos con “cualquier entidad gubernamental, privada o financiera”. “Lo que dicen es que básicamente le van a dar acceso a cualquier persona sin ningún control previo, sin decir por qué o qué es lo que busca, puede ser cualquier empresa, la Fiscalía, el Ejército… Imagínate lo peligroso que sería: una empresa que esté viendo si contrata a alguien y va a este sistema y ve que la persona tiene una anotación de que rectificó su acta de nacimiento para especificar que es una mujer o un hombre trans y no le contrata”.
El diputado de Morena Pablo Amílcar Sandoval propuso el martes una reserva a la ley que fue aprobada, consistente en incluir “medidas de seguridad de carácter administrativo, físico y técnico para la protección de datos personales, especialmente los biométricos, a fin de evitar su daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado”. Macías le da la réplica: “No es suficiente, [la norma] debería especificar a quienes [se proporcionan los datos biométricos], por qué, con qué finalidad, durante cuánto tiempo, por qué se debe manejar, pero para empezar, no debería siquiera de existir el requerimiento de datos biométricos”.
La abogada de R3D apunta también al sesgo que tiene este sistema en cuanto a etnia o género. “Muchas veces las tecnologías de biometría están entrenadas con una idea muy específica del cuerpo humano. Se pone como modelo un cuerpo hegemónico, blanco, hombre, sin discapacidades… Se ha documentado cómo este tipo de herramientas fallan al tratar de identificar a personas racializadas. Y si no fallan, al ser grupos en situación de vulnerabilidad sistemáticamente oprimidos, el Estado gana mucho en poder vigilarlos y poder controlarlos más fácilmente”.
Los datos biométricos se han utilizado antes como arma de represión. Cuando los talibanes llegaron al poder en Afganistán en 2021, después de la retirada de Estados Unidos, se hicieron con el control de dispositivos de reconocimiento biométrico utilizados antes por el Ejército estadounidense. Con ese sistema, pudieron acceder e identificar a un archivo de personas contrarias a su régimen y vinculadas al anterior Gobierno. Además, si los datos caen en malas manos, “pueden ser vendidos por los cibercriminales, usarse para usurpar identidades, se podrían recrear pasaportes y cometer robos o asesinatos e inculpar a otra persona”, añade Víctor Ruiz. “No se puede olvidar que, cuando se creó el registro de usuarios telefónicos en 2009, los datos personales de los usuarios terminaron en venta en el mercado negro”, reitera Mattiace.
El Gobierno mexicano ya intentó antes crear un registro de datos biométricos con el Padrón Nacional de Usuarios de Telefonía Móvil, aprobado en el Senado en abril de 2021 y declarado inconstitucional un año después por la Suprema Corte de Justicia de la Nación. “Algo que dice la sentencia del Padrón, que es precedente, es que no puedes obligar a nadie a dar sus datos biométricos sin consentimiento explícito”, mantiene Macías. “Queremos que no haya una base de datos centralizada y cualquier autoridad pueda acceder a todo”, remata.