CURP biométrica: el sistema que ahora usamos… y que lleva 30 años en la ley sin que nadie lo notara

Artículos20 de agosto de 2025
El 16 de julio de 2025 marcó un hito en el sistema de identidad mexicano con la entrada en vigor de un paquete legislativo que transforma profundamente la manera en que el Estado reconoce, registra y valida a las personas.

Introducción: del código a la biometría

El 16 de julio de 2025 marcó un hito en el sistema de identidad mexicano con la entrada en vigor de un paquete legislativo que transforma profundamente la manera en que el Estado reconoce, registra y valida a las personas. En el centro de esta reforma se encuentra la conversión de la Clave Única de Registro de Población (CURP) en el documento nacional de identificación obligatorio, ahora con atributos biométricos como huellas dactilares, fotografía y escaneo del iris. 

La CURP biométrica será gestionada por la Secretaría de Gobernación, a través del Registro Nacional de Población, mediante una Plataforma Única de Identidad que permitirá la validación, consulta y autenticación de personas en tiempo real. Este nuevo modelo tiene implicaciones técnicas, legales y sociales de gran alcance: desde su uso para acceder a servicios públicos y privados, hasta su integración con bases de datos forenses, registros de salud y sistemas de inteligencia.

Las reacciones no se han hecho esperar. Mientras el gobierno promueve la iniciativa como un paso hacia la inclusión digital y la eficiencia administrativa, organizaciones de la sociedad civil, expertos en derechos humanos y actores del sector privado han manifestado preocupaciones sobre los riesgos de concentración de datos, falta de control independiente y uso secundario de la información biométrica.

 Esta nota busca ofrecer una lectura clara y crítica del nuevo sistema. ¿Qué cambió realmente con la CURP biométrica? ¿Qué elementos ya existían en el régimen anterior? ¿Qué preocupaciones están justificadas y cuáles no? A través de un análisis estructurado, se revisan los aspectos esenciales de esta reforma para distinguir entre continuidad, transformación y alerta.

 

Componentes legales que ya existían

Aunque hoy se habla de la CURP biométrica como un cambio disruptivo, lo cierto es que gran parte del modelo de identidad ya estaba previsto en la Ley General de Población desde 1992. México diseñó un sistema legal con registros diferenciados, cédulas oficiales y recolección de biométricos mucho antes de contar con la infraestructura tecnológica o política para implementarlo. Sin embargo, esos instrumentos nunca se desarrollaron plenamente ni se comunicaron con claridad a la población. 

A continuación, se explica qué componentes ya existían en la ley, por qué no se vieron reflejados en la práctica, y cómo la CURP biométrica actual los absorbe o reformula.

 

Registro Nacional de Población (RENAPO)

Creado en 1980, es la base general de datos de todas las personas residentes en México —nacionales y extranjeros con estancia legal—. Está bajo la responsabilidad de la Secretaría de Gobernación.

 Aunque existe formalmente desde hace décadas, ha operado con baja visibilidad pública y sin interacción directa con la ciudadanía.

 

CURP

Establecida por decreto en 1992 como un código alfanumérico asignado a cada persona al registrarse en el RENAPO. Fue pensada como un identificador único administrativo. 

Aunque ampliamente utilizada en trámites oficiales, no tenía valor como documento legal de identidad ni incorporaba datos biométricos.

 

Registro de Ciudadanos

Previsto en la ley desde 1992 para personas mexicanas mayores de edad. Su inscripción debía conducir a la expedición de la Cédula de Identidad Ciudadana, con valor oficial probatorio.

Nunca se implementó. La credencial para votar (INE) ocupó de facto su lugar, aunque no se encuentra regulada por la Ley General de Población.

 

Registro de Menores de Edad

También previsto desde 1992. Su inscripción implicaba la emisión de una Cédula de Identidad Personal para niñas, niños y adolescentes, con datos personales y biométricos.

Se intentó implementar entre 2009 y 2015. La captura de huellas, iris y firma digital se concentró en entidades como Baja California, Colima, Chiapas, Guanajuato y Estado de México, priorizando zonas marginadas. La Auditoría Superior de la Federación documentó fallas en el resguardo de datos, falta de interoperabilidad con los Registros Civiles y ausencia de marco operativo. El proyecto fue cancelado en 2015 y los datos quedaron bajo resguardo de la Secretaría de Gobernación.

 

Lo que se conserva

Aunque la reforma de 2025 transforma la CURP en un documento oficial de identificación y rediseña la arquitectura operativa del sistema de identidad, no todo es ruptura con el pasado. Varios elementos esenciales del modelo anterior se mantienen vigentes y continúan sirviendo como base legal y técnica para la implementación actual.


Aunque la Cédula de Identidad continúa vigente en la Ley General de Población, su funcionalidad como documento de identificación ha sido absorbida de facto por la CURP biométrica, tanto en medios físicos como digitales. Su permanencia en la ley podría responder a una intención legislativa de mantenerla como herramienta complementaria o de transición futura.

 

Esta continuidad es relevante por dos razones:

  1. Refleja que la CURP biométrica no parte de cero, sino que se construye sobre estructuras legales ya existentes.
  2. Matiza el discurso de “cambio total” que ha acompañado la narrativa oficial, permitiendo una lectura más informada y equilibrada.

Elementos que permanecen en la legislación y en la práctica

  • RENAPO se mantiene como el órgano rector del sistema, con facultades para integrar, actualizar y administrar los registros de identidad. Su rol se fortalece en la nueva ley, pero su base institucional y su adscripción a la Secretaría de Gobernación permanecen sin cambios.
  • La CURP como identificador único ya estaba presente desde 1996 y conservaba su función como clave administrativa para trámites oficiales. La reforma amplía su alcance, pero no altera su principio estructural como identificador individual.
  • La existencia legal de los Registros de Ciudadanos y de Menores se conserva en la ley. Aunque su instrumentación práctica ha sido limitada, su función como base para integrar los datos poblacionales sigue prevista en los artículos 89 a 96 de la Ley General de Población.
  • La Cédula de Identidad Ciudadana y Personal continúa regulada en el capítulo VII de la ley. No ha sido derogada ni modificada, lo que permite inferir que el legislador aún contempla su emisión futura, salvo que un marco transitorio o reglamentario disponga lo contrario.
  • La lógica de interoperabilidad entre registros administrativos y de servicios (educación, salud, seguridad) ya estaba esbozada en lineamientos anteriores y ahora se refuerza a través de la Plataforma Única de Identidad, pero no constituye una innovación absoluta.

Nota técnica

Esta continuidad normativa no implica que el sistema anterior haya sido funcional. Muchos de estos componentes existían en papel, pero no en operación. La novedad de la reforma de 2025 radica en su obligatoriedad, alcance nacional, incorporación de biométricos y valor probatorio, no en la creación de figuras jurídicas inéditas.

 

Lo que realmente cambió

La narrativa pública en torno a la CURP biométrica ha oscilado entre la novedad absoluta y la continuidad normativa. Sin embargo, más allá del discurso, la reforma de 2025 sí introduce cambios estructurales y operativos sustanciales que alteran el régimen de identidad en México. Estos cambios no están en la creación de nuevas figuras legales, sino en la transformación funcional de las existentes, su obligatoriedad y su integración sistémica.

 

Cambios clave introducidos por la reforma de 2025:

  • La CURP se convierte en documento oficial de identificación.
     Por primera vez, la CURP —hasta ahora una clave alfanumérica sin valor documental— adquiere la naturaleza de documento nacional de identificación obligatorio, con soporte físico y digital, y con capacidad para acreditar identidad en trámites y servicios (art. 91 Bis). 
  • Se incorporan datos biométricos de forma obligatoria.
     La CURP biométrica debe incluir huellas dactilares, fotografía facial, y puede incorporar escaneo del iris u otros datos, conforme al Reglamento. La integración de biométricos ya estaba prevista para la cédula, pero nunca había sido obligatoria ni ejecutada a esta escala. 
  • Se crea la Plataforma Única de Identidad.
     Este nuevo sistema tecnológico administrado por RENAPO permitirá la validación, consulta y autenticación en tiempo real de la CURP biométrica. Su diseño articula el acceso a bases de datos públicas y privadas, con potencial para interoperar con sistemas de salud, seguridad y justicia (art. 91 Quater).
  • Se establece el uso obligatorio en medios públicos y privados.
     Todo ente público y particular que preste servicios deberá exigir la CURP biométrica como mecanismo de identificación y autenticación de identidad, especialmente en medios digitales (art. 91 Sexies). Esta obligatoriedad marca una ruptura con el uso opcional de identificadores previos.
  • La CURP digital sustituye de facto a otros documentos de identificación.
     Aunque la Cédula de Identidad sigue prevista en la ley, su no implementación histórica y la amplitud funcional de la CURP biométrica la convierten en el documento operativo por excelencia. La CURP ya no es solo un número: es un documento portador de identidad y de acceso.
  • Se introducen sanciones por incumplimiento.
     Las autoridades y particulares que no integren sus sistemas a la Plataforma o que usen indebidamente los datos podrán ser sancionados con multas de hasta 20,000 UMAs (art. 114 Bis). Esto representa un nuevo régimen de responsabilidad jurídica frente al tratamiento de datos personales.

 

Nota interpretativa: El cambio no está solo en el contenido normativo, sino en la forma en que se ejecutará. La CURP deja de ser una clave pasiva para convertirse en una llave activa de identidad interoperable, con implicaciones para el acceso a derechos, servicios y sistemas de seguridad.

 

Lo que sí debe preocupar

La consolidación de la CURP biométrica como documento de identificación y llave digital del sistema público y privado abre nuevas oportunidades en términos de eficiencia, cobertura y trazabilidad, pero también plantea riesgos concretos que deben analizarse con rigor. Algunos de ellos derivan directamente del diseño legal; otros, de su implementación en un contexto institucional frágil y con débil cultura de protección de datos personales.

A continuación, se presentan los focos de alerta que merecen especial atención desde una perspectiva jurídica, tecnológica y de derechos humanos:

 

Centralización sin contrapesos independientes

La gestión de la CURP biométrica y de la Plataforma Única de Identidad recae en el Poder Ejecutivo, sin intervención de organismos constitucionalmente autónomos. Con la desaparición del INAI, la supervisión del uso de datos sensibles queda en manos de un órgano dependiente del gobierno, lo que genera un conflicto de interés estructural entre quien administra los datos y quien debería vigilarlos.

 

Recolección masiva de biométricos sin control judicial

La ley permite que la Secretaría de Gobernación recabe biométricos de fuentes diversas —otras bases de datos federales, locales y municipales— y centralice esta información para uso transversal, sin que medie autorización judicial ni evaluación previa de impacto en protección de datos. Esto debilita principios de protección de datos como legalidad, proporcionalidad y finalidad.

 

Obligación de uso universal sin salvaguardas claras

La CURP biométrica será requisito obligatorio para acceder a servicios públicos y privados, incluidos trámites de salud, educación, seguridad y posiblemente financieros. En un país con brechas digitales, desigualdad estructural y escasa infraestructura en zonas rurales, esto podría generar exclusión o barreras de acceso para quienes no logren tramitarla oportunamente.

 

Interoperabilidad sin límites definidos

El marco normativo no establece con claridad cuáles bases de datos podrán interoperar con la Plataforma, ni qué entidades podrán consultarla, ni bajo qué condiciones. Tampoco prevé auditorías externas, trazabilidad robusta ni mecanismos efectivos para prevenir el uso secundario indebido.

 

Fragilidad de la infraestructura tecnológica

México ha enfrentado históricamente problemas de ciberseguridad en instituciones públicas. La centralización de biométricos en una base única crea un “punto único de falla” sumamente atractivo para ciberdelincuentes, con consecuencias potencialmente irreversibles en caso de filtración. A diferencia de una contraseña, un dato biométrico no puede cambiarse.

 

Riesgo de regresividad en materia de derechos humanos

El nuevo régimen no contempla garantías efectivas para asegurar el consentimiento libre e informado ni para impugnar el tratamiento automatizado de la identidad. La supresión del INAI y la falta de criterios judiciales de control podrían facilitar el uso de la CURP biométrica más allá de lo previsto por la ley, sin mecanismos reales de oposición o defensa.

 

Nota de cierre: Estos riesgos no implican necesariamente un uso ilegítimo o abusivo de la CURP biométrica, pero exigen una arquitectura legal y técnica más robusta, con auditorías externas, participación ciudadana y garantías efectivas. Sin ellas, el sistema puede volverse una herramienta de vigilancia estructural más que un mecanismo de inclusión.

 

¿Qué sigue?

  • Para el Estado, el reto es garantizar que este modelo se construya con base en principios constitucionales, mecanismos de control, evaluación de impacto y participación ciudadana.
  • Para los sujetos obligados y particulares, será clave entender sus obligaciones, ajustar sus procesos y anticipar riesgos de cumplimiento.
  • Para la ciudadanía, la transparencia, el derecho a la identidad y la posibilidad de impugnar usos indebidos deben ser prioridades innegociables.

 

En suma, la CURP biométrica no es sólo un cambio técnico, es una decisión política y jurídica sobre cómo nos reconoce el Estado y bajo qué condiciones accedemos a derechos. Acompañar este proceso con vigilancia crítica y propuestas constructivas no es oponerse al avance, sino asegurar que la identidad digital no se construya a costa de nuestras libertades.

 

Conclusión: ¿documento o paradigma? 

La reforma de 2025 convierte a la CURP en el eje operativo del sistema de identidad digital en México. No se trata únicamente de un nuevo documento, sino de la instauración de un modelo legal, tecnológico y político de reconocimiento estatal.

Este modelo promete eficiencia administrativa, interoperabilidad entre sistemas y cobertura nacional. Sin embargo, también centraliza el poder, elimina contrapesos institucionales, impone obligaciones sin regulación clara y plantea riesgos serios de exclusión y vigilancia estructural.

No se trata de rechazar la digitalización de la identidad. Se trata de exigir que este avance se construya sobre garantías democráticas, con proporcionalidad normativa, participación ciudadana efectiva y supervisión técnica y legal independiente.

 

 

ECIJA México
 socios.mexico@ecija.com
 +52 55 5662 6840
 

Una representación artística de una huella digital en tonos azulados sobre un fondo claro.

Socios relacionados

ACTUALIDAD #ECIJA