La centralización de datos en México: eficiencia estatal, riesgos sistémicos y el reto de hacerlo bien

De -

 


En los últimos años y con mayor intensidad en los meses recientes, México ha experimentado una transformación en la manera en que el Estado concibe, recaba y utiliza la información de las personas. Reformas legales que, vistas de manera individual, responden a objetivos legítimos como la modernización la administración pública, reducir trámites, fortalecer la seguridad, mejorar la inteligencia del Estado o combatir delitos; Todo esto en su conjunto nos lleva a la centralización y unificación de datos personales de toda la población.

Las modificaciones a la Ley General de Población, la Ley Nacional para Eliminar Trámites Burocráticos, la Ley del Sistema Nacional de Investigación e Inteligencia en materia de Seguridad Pública, así como los cambios en materia de telecomunicaciones, los lineamientos administrativos emitidos por el Ejecutivo y el manual técnico de la Plataforma Única de Identidad, son partes de un mismo engranaje normativo y tecnológico que converge en la integración de la información de la población en plataformas interconectadas y consultables en tiempo real.

El debate público, sin embargo, ha sido fragmentado. Se discute una ley aquí, un registro allá, un nuevo sistema administrativo más adelante, pero poco se ha visto sobre los alcances acumulativos de estos cambios. El resultado es un escenario complejo, en el que la promesa de eficiencia estatal convive con riesgos inéditos para la privacidad, la seguridad de la información y los derechos fundamentales.

El objetivo de este texto es analizar los riesgos, pero no solo como un señalamiento de algo que ya está en práctica, sino con la visión de que siendo un hecho su implementación, se está a tiempo de hacerlo siguiendo buenas prácticas y estándares de seguridad y privacidad, que maximicen el beneficio de la eficiencia y la persecución del crimen, pero al mismo tiempo proteja las garantías individuales de la mayoría de la pronación, que afortunadamente somos más los que nos portamos bien.

Uno de los cambios más relevantes del nuevo modelo es la normalización del cruce de datos, con la lógica muy justificable de que: si las instituciones pueden compartir información de forma automática, se reducen duplicidades, se agilizan trámites y se mejora la capacidad de análisis y respuesta ante problemas complejos.

En teoría, un Estado que cruza datos puede detectar identidades falsas, prevenir fraudes, identificar riesgos de seguridad o diseñar mejores políticas públicas. El problema aparece cuando ese cruce deja de ser excepcional y se convierte en la regla, sin límites claros de finalidad, proporcionalidad y control.

El cruce masivo de datos no solo multiplica el volumen de información accesible, sino que incrementa exponencialmente su valor y sensibilidad. Un dato aislado puede ser poco relevante; combinado con otros, puede revelar patrones de conducta, relaciones personales, situación económica, estado de salud o trayectorias completas de vida. Se crea una superficie de contacto muy amplia a un activo que es oro molido en manos de que la use, ya sea para el bien o para el mal.

La Plataforma Única de Identidad y los sistemas asociados plantean un ecosistema en el que bases de datos de instituciones con objetivos radicalmente distintos como el registro civil, seguridad pública, salud, educación, telecomunicaciones y servicios financieros, pueden interconectarse.

Esta interconexión no se limita al ámbito federal. En la práctica, involucra a entidades estatales, municipales, organismos autónomos y, potencialmente, a particulares. Se trata de una infraestructura nacional de información, algo que México nunca había tenido con este nivel de integración.

El riesgo no está únicamente en la existencia de la plataforma, sino en su operación cotidiana. Cada conexión adicional amplía la superficie de ataque. Cada API, cada integración técnica, cada usuario con acceso autorizado representa un posible punto de falla.

Uno de los aspectos más preocupantes de este modelo es la disparidad real en las medidas de seguridad entre instituciones. No todas cuentan con los mismos presupuestos, capacidades técnicas, personal especializado o cultura de protección de datos y seguridad de la información.

Algunas dependencias operan con estándares comparables a los de grandes organizaciones privadas; otras apenas cumplen con requisitos mínimos. Sin embargo, el modelo de interconexión no distingue entre ellas. Todas forman parte del mismo entramado. De hecho, nadie está a salvo, incluso grandes corporaciones privadas que han invertido millones de dólares en su ciberseguridad han sido vulneradas.

Esto genera un fenómeno conocido en ciberseguridad como el riesgo sistémico del eslabón débil. No importa cuán robustos sean los controles de una institución si otra, menos preparada, permite una filtración que sirva como puerta de entrada al resto del ecosistema.

El debate sobre estos riesgos no es teórico. México cuenta con antecedentes claros de vulneraciones de información, exposiciones de padrones públicos y filtraciones de bases de datos sensibles. En muchos casos, estas fallas no fueron producto de ataques sofisticados, sino de errores humanos, configuraciones incorrectas o malas prácticas operativas. Esta situación no se ciñe solo a nuestro país, economías de todos tamaños y presupuestos han vivido situaciones similares.

Cuando se trata de bases de datos aisladas, el daño puede ser grave pero limitado. pero cuando hablamos de plataformas que concentran información transversal de la población, el impacto potencial se multiplica.

La pregunta no es si una vulneración es posible, sino cuándo y con qué consecuencias.

La CURP biométrica es quizá el símbolo más claro de este nuevo paradigma. Concebida como una plataforma única de identidad, incorpora datos biométricos, de los más sensibles desde el punto de vista de protección de datos, bajo la premisa de fortalecer la certeza de la identidad.

En el papel, la ley establece que su uso está sujeto al consentimiento informado de los ciudadanos. Sin embargo, al analizar su relación con otras disposiciones, se vuelve evidente que ese consentimiento será, en la práctica obligatorio si necesitamos hacer cualquier tipo de trámite gubernamental.

Si la CURP biométrica se convierte en requisito para realizar trámites y acceder a servicios, no solo públicos, sino también privados, la capacidad real de optar por no participar se diluye. Servicios financieros, educativos, de salud y múltiples actividades cotidianas podrían depender de ella. ¿Quién puede rechazar un sistema sin el cual no puede abrir una cuenta bancaria, inscribirse en una escuela, recibir atención médica o contratar un servicio básico?

El caso del registro de usuarios de telefonía móvil ilustra otro problema recurrente: la desconexión entre intención normativa y efectividad real. Este tipo de registros fue analizado por la Suprema Corte de Justicia de la Nación hace años, quien declaró inconstitucional un esquema similar por falta de garantías suficientes.

El argumento central sigue vigente, se impone la carga de registro al grueso de la población en aras de la seguridad pública, sin embargo, los delincuentes, por definición no van a cumplir la ley y no se registran voluntariamente. Buscarán evadir el sistema mediante líneas registradas con identidades falsas, datos obtenidos de filtraciones, tarjetas SIM de otros países o intermediarios.

La creación del Sistema Nacional de Investigación e Inteligencia añade otra capa de complejidad. Este sistema contará con una plataforma interconectada con todas las bases de datos en posesión de instituciones públicas, y “en su caso” con información de particulares.

Este pun de “en su caso” para referirse a datos privados, deja abiertas múltiples interpretaciones que no han sido aclaradas ¿Qué tipo de información? ¿Bajo qué condiciones? ¿Con qué controles? ¿Con qué mecanismos de supervisión?

Lo que hoy enfrentamos no es un dilema entre modernización y atraso, ni entre seguridad y derechos. Es un reto más complejo: cómo construir un Estado digital eficiente sin sacrificar principios fundamentales. La seguridad y a privacidad no deben ser una dicotomía de disciplinas contrapuestas, sino dos elementos que no deben existir uno sin el otro.

La ciudadanía tiene razones legítimas para exigir servicios ágiles y un Estado capaz de enfrentar problemas complejos. Pero también tiene derecho a saber cómo se protegerá su información, quién tendrá acceso, bajo qué condiciones y con qué consecuencias ante abusos o fallas.

La centralización de datos no es, por definición, incompatible con la protección de derechos. Países con altos estándares democráticos han implementado sistemas de identidad y de interoperabilidad de datos con salvaguardas robustas. La clave está en el diseño, la implementación, transparencia y supervisión.

Por esto comparto aquí algunas recomendaciones prácticas para avanzar en la dirección que ya se ha establecido, de manera segura y considerando las mejores prácticas internacionales:

·         Establecer una finalidad clara y limitada, de forma que cada cruce de datos debe estar estrictamente vinculado a una finalidad específica, legalmente definida y verificable. No todo sistema necesita acceso a toda la información.

·         Seguridad homogénea y obligatoria, haciendo que la interconexión deba condicionarse al cumplimiento de estándares de ciberseguridad auditables, no solo declarativos. Sin excepción, con evaluaciones efectuadas por terceros imparciales y obligatoriedad de cerrar las brechas.

·         Divulgación responsable de vulnerabilidades con base en estándares, que permitan dar tiempo a los desarrolladores y administradores de sistemas de corregir las vulnerabilidades antes de que se hagan públicas, pero estableciendo un tiempo límite razonable que les obligue a corregir sin demora.

·         Separación de funciones y minimización de datos, ya que no todas las instituciones deben ver todo ni requieren permisos completos sobre todo el sistema. La arquitectura debe privilegiar accesos segmentados, con el principio de mínima información necesaria. Zero trust significa que todo sistema interconectado debe considerar al resto de los sistemas como potencialmente malicioso y aún así operar la interconexión.

·         Recabación de datos biométricos a través de patrones biométricos. Los datos biométricos no deben salir de los dispositivos de los usuarios, almacenados y mucho menos cruzados con otras bases de datos, si no es en la forma de patrones biométricos revocables, como lo comenté en mi artículo sobre “Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica”.

·         Supervisión independiente y rendición de cuentas para los sistemas de alto impacto e infraestructuras críticas, que deben contar con mecanismos de supervisión externa, informes públicos y responsabilidades claras ante fallas o abusos.

·         Transparencia real para la ciudadanía, de manera que las personas sepan qué datos se recaban, cómo se usan, quién accede a ellos y cómo ejercer sus derechos de acceso, rectificación y oposición.

·         Evaluaciones de impacto obligatorias antes de poner en marcha plataformas de esta magnitud, incluyendo evaluaciones de impacto en privacidad y seguridad, que sean públicas y sujetas a revisión.

·         La implementación no tiene que ser inmediata ni total. Los sistemas complejos requieren fases piloto, pruebas de estrés y ajustes continuos para identificar nuevos riegos, problemas e ir estableciendo soluciones de manera escalonada.

Es importante señalar que varios de estos puntos lo hemos escuchado ya en foros por parte de los responsables de la implementación de este sistema interoperable, pero no he visto un documento que articule todos estos aspectos de manera clara y en un solo lugar.

La tecnología puede ser una aliada poderosa, pero no sustituye al diseño institucional ni a las garantías democráticas. Centralizar información es una decisión de alto impacto. Hacerlo bien exige prudencia, debate público y voluntad de corregir el rumbo cuando sea necesario.

La pregunta ya no es si el Estado puede recabar y cruzar datos esto ya lo decidieron. El punto es que se haga de forma responsable, segura y respetuosa de los derechos de las personas. Esa es la discusión que México necesita tener, ahora, antes de que los sistemas estén plenamente en marcha.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más