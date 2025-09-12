Víctor Ruiz es analista y consultor en temas relacionados con ciberseguridad. (Silikn)

La Secretaría de Gobernación (Segob) declaró desierta la licitación para la contratación de servicios integrales de administración y operación de cómputo en la nube destinados al Registro Nacional de Población e Identidad (Renapo). La decisión, publicada el 3 de septiembre de 2025, respondió a que las dos propuestas recibidas no cumplieron con los requisitos técnicos establecidos en la convocatoria.

Los oferentes fueron Triara.Com, S.A. de C.V., en conjunto con Uninet, S.A. de C.V. y Scitum, S.A. de C.V., así como B Drive It, S.A. de C.V. Ninguno logró acreditar la infraestructura ni las especificaciones necesarias para garantizar la seguridad y operación de un proyecto que forma parte de la nueva Clave Única de Registro de Población biométrica (CURP biométrica).

La licitación estaba directamente vinculada a la implementación de la CURP biométrica, iniciativa cuyo marco normativo fue publicado el 16 de julio de 2025. El sistema contempla la integración de datos biométricos —rostro, huellas dactilares, iris y firma— con un presupuesto multianual de hasta 520 millones de pesos.

La infraestructura en la nube debía asegurar capacidad de cómputo, almacenamiento, redes y altos estándares de ciberseguridad para soportar tanto el registro masivo de la población como la verificación en línea de los identificadores biométricos. La declaratoria de licitación desierta implica un freno en la consolidación de dicha infraestructura, mientras la fase piloto de la CURP biométrica continúa operando en un módulo de la Ciudad de México, donde su emisión es voluntaria y gratuita.

De repetirse el fracaso en una segunda convocatoria, la Segob enfrentaría retrasos considerables en la modernización del Renapo, lo que postergaría la emisión masiva de la CURP biométrica más allá de la etapa piloto. Esto obligaría a la dependencia a replantear las bases de la convocatoria, ajustando requisitos técnicos, financieros o administrativos que podrían haber sido demasiado estrictos o poco claros.

Un nuevo intento fallido implicaría costos adicionales, retrasos en la calendarización y, eventualmente, la necesidad de reiniciar el proceso de licitación, consumiendo tiempo y recursos en un proyecto que ya cuenta con un presupuesto comprometido de hasta 520 millones de pesos.

En caso de que se llegara a una tercera licitación desierta, el impacto sería todavía más severo. La fase piloto en la capital podría quedar estancada, comprometiendo la posibilidad de establecer un sistema nacional de identificación biométrica. La Segob tendría entonces que revisar de manera exhaustiva sus bases de licitación, reconsiderar el presupuesto y enfrentar un escrutinio político y administrativo mayor.

Tres licitaciones fallidas de manera consecutiva abrirían la puerta a auditorías de la Auditoría Superior de la Federación (ASF) y a críticas por deficiencias en la planeación del proyecto. Además, la falta de confianza de las empresas proveedoras podría desalentar su participación en futuras convocatorias, limitando las opciones de contratación.

En ese escenario, la Segob podría recurrir a vías alternas como adjudicaciones directas —permitidas bajo la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público (LAASSP) tras licitaciones desiertas—, asociaciones público-privadas o incluso la participación de proveedores internacionales. Sin embargo, todas estas opciones conllevan riesgos legales, cuestionamientos sobre transparencia y debates en torno a la soberanía tecnológica.

El uso de infraestructura temporal existente podría ser otra salida, aunque se trataría de soluciones menos eficientes y con menor capacidad de garantizar la seguridad y privacidad de los datos, comprometiendo la calidad del sistema.

La adjudicación directa es un mecanismo legalmente viable en México, siempre que la Segob justifique que los retrasos afectan un proyecto prioritario o que solo un proveedor cumple con los requerimientos técnicos necesarios. También puede invocarse por motivos de urgencia, seguridad nacional o interés público.

No obstante, este mecanismo exige un dictamen técnico y legal sólido, publicado en CompraNet y aprobado internamente, posiblemente con intervención de la Secretaría de la Función Pública (SFP). Debido al alto monto del contrato y la sensibilidad del manejo de datos biométricos, este camino es particularmente vulnerable a impugnaciones legales y auditorías de la ASF.

Aunque la Segob podría verse presionada a considerar esta opción para cumplir con los plazos del proyecto —la fase piloto se expandirá a partir del 16 de octubre de 2025 y la emisión masiva está prevista para enero de 2026, con obligatoriedad en febrero—, lo más probable es que primero se agoten las licitaciones públicas para evitar un desgaste político y legal.

En este sentido, la transparencia será un punto crítico en cualquier modalidad de contratación. Expertos advierten que debe evitarse cualquier vínculo previo entre funcionarios públicos y representantes de empresas participantes, incluso si se originó en organizaciones no gubernamentales o asociaciones sin fines de lucro. Estas conexiones podrían dar lugar a sospechas de conflictos de interés, poner en riesgo la imparcialidad del proceso y alimentar percepciones de corrupción.

El precedente de proyectos tecnológicos en México, como el servicio de identidad digital implementado en Monterrey a través de adjudicación directa, muestra que esta práctica puede ser viable en contextos de urgencia. Sin embargo, también expone riesgos de escrutinio público y de filtración de datos sensibles cuando los procesos carecen de transparencia y supervisión independiente.

En paralelo, persisten cuestionamientos sobre la intención del gobierno de incorporar tecnología blockchain al proyecto. Críticos advierten que su adopción podría responder más a la popularidad de la herramienta que a un análisis técnico profundo frente al panorama actual de ciberamenazas.

Si bien la blockchain ofrece ventajas como descentralización, trazabilidad e inmutabilidad, también enfrenta desafíos significativos: vulnerabilidades en contratos inteligentes, amenazas persistentes avanzadas (APT), limitaciones de escalabilidad y riesgos para la privacidad si se emplean redes públicas sin mecanismos avanzados de protección.

Es importante enfatizar que la concentración de datos biométricos en una sola infraestructura representa un riesgo considerable de ciberataques, así como la posibilidad de que la información sea utilizada para vigilancia masiva. La eliminación del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) dejó al sistema sin una supervisión independiente, lo que incrementa las preocupaciones sobre un uso indebido con fines políticos, como persecución de opositores o manipulación social.

La falta de un marco regulatorio robusto y de mecanismos de supervisión externos profundiza los riesgos legales y éticos, ya que los ciudadanos se verán obligados a entregar datos sensibles sin un consentimiento plenamente informado.

La CURP en México ahora incluye datos biométricos como huellas dactilares y reconocimiento facial para mayor seguridad e identidad digital. - (Imagen Ilustrativa Infobae)

Para garantizar la viabilidad y legitimidad del proyecto, la unidad de investigación de SILIKN recomienda que toda la información relacionada con la CURP biométrica —contratos, criterios de selección, dictámenes técnicos y posibles conflictos de interés— sea publicada en el Diario Oficial de la Federación y en plataformas de transparencia.

Asimismo, sugieren implementar auditorías independientes a cargo de firmas especializadas en ciberseguridad y establecer convenios con instituciones académicas para evaluar periódicamente la infraestructura. Solo así podría asegurarse que la CURP biométrica cumpla con estándares de seguridad, ética e inclusión, y que sus beneficios superen los riesgos en un país donde la protección de datos personales sigue siendo un tema en conflicto.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

