Una nueva ley ha hecho saltar las alarmas entre analistas de ciberseguridad, organizaciones civiles y parte de la oposición. La Cámara de Diputados aprobó este martes una norma que concentra en la Secretaría de Gobernación los Registros Civiles de todo el país, antes jurisdicción de cada uno de los 32 Estados. Lo más polémico de la medida es que la institución también controlará los datos biométricos de los mexicanos: huellas dactilares, ADN, retina, iris, voz o rasgos faciales. El problema, sostienen todos los expertos consultados, es que esto otorga un poder de vigilancia total a un gobierno con un historial de espionaje sobre sectores críticos de su población como opositores, periodistas o activistas. Los especialistas también señalan que condensar información extremadamente sensible como esta en un mismo espacio la hace más vulnerable a posibles ataques informáticos, suplantación de identidad y la convierte en una herramienta más de control.
Lo que implica la nueva Ley General para el Funcionamiento de los Registros Civiles, según Grecia Macías, abogada del Red en Defensa de los Derechos Digitales (R3D), es que le permite al Estado ser “un vigilante constante”. “Acabamos de enterarnos de que el ejército está espiando ilegalmente con el software Pegasus, y ahora están sacando a la luz otra herramienta de vigilancia masiva. Pone a los ciudadanos en una situación de peligro y vulnerabilidad. Es súper peligroso porque las tecnologías biométricas tienen impactos desproporcionados, especialmente en las personas de color, los migrantes, la comunidad LGBTQ…”.
En un mundo cada vez más digitalizado, los datos biométricos son un arma arrojadiza extremadamente peligrosa. La tecnología es utilizada, por ejemplo, por gobiernos, bancos y hospitales, en teoría para llevar un registro más completo y garantizar la seguridad de los ciudadanos. Sin embargo, puede convertirse en un boomerang político. “Los datos biométricos representan el nivel más alto de seguridad para un usuario”, explica el analista de ciberseguridad Víctor Ruiz, “pero acumular este tipo de datos es riesgoso para la población”. “En México venimos sufriendo ataques que han vulnerado distintas instancias gubernamentales. Si los atacantes cibernéticos saben que hay una agencia que recopila esta información, puede ser susceptible a ataques constantes”, dice.
Además, el gobierno mexicano ha sufrido recientemente ataques informáticos que han dado lugar a filtraciones masivas de secretos de estado e información confidencial. El ejemplo más reciente es el hackeo de la organización de hacktivistas Guacamaya a la Secretaría de la Defensa (Sedena), que expuso las costuras del Ejército a través de la divulgación de más de cuatro millones de correos electrónicos. “Creo que en este momento el Gobierno no tiene capacidad para enfrentar un ciberataque que lleve a la fuga de datos biométricos, necesita un plan de ciberseguridad”, dice Ruiz.
Hiram Alejandro Camarillo, CEO de la firma de ciberseguridad Seekurity, respalda esta opinión: “Hay una falta de controles para asegurar estos datos. Con todas las filtraciones que han existido en los sistemas del Gobierno, no hay forma de que nos puedan asegurar que la información va a estar correctamente protegida. Lo vimos con la Sedena, y por la cantidad de información que extrajeron, seis terabytes, [el Estado] No tiene la capacidad técnica ni tecnológica para poder identificar cuando alguien está extrayendo una gran cantidad de información”.
La cuestión fundamental de fondo es que, si una sola agencia tiene el control total de los datos biométricos de la población, sin controles preestablecidos, la palabra del Estado es la única garantía que existe de que no se producirá un mal uso de la información. información. “Esta ley pondría en peligro el derecho a la privacidad de los mexicanos: otorga amplias facultades a la Secretaría de Gobernación para decidir qué datos biométricos tendrán que entregar las personas; cómo y cuándo deben ser compartidos con entidades públicas y privadas, pero no establece ningún mecanismo para garantizar la protección de los datos o evitar su mal uso”, dice Tyler Mattiace, investigador de la organización de derechos humanos Human Rights Watch.
Fraude de identidad, discriminación de comunidades vulnerables y arma de represión
La ley salió adelante con 311 votos a favor de Morena, el PRI, el Partido Verde y el PT; 131 contra el PAN y Movimiento Ciudadano y 17 abstenciones, en su mayoría del PRD. El Ministerio del Interior, presidido por el morenista Adán Augusto López, defendió es una declaración que la norma “tiene por objeto garantizar el derecho a la identidad de las personas y el acceso a los servicios que brinda el Registro Civil”. En la práctica, implica crear un registro único para cualquier acto jurídico que una persona realice en su vida: nacer, tener un hijo, casarse, divorciarse, comprar una casa e incluso morir. Con cada evento, un ciudadano deberá facilitar sus datos básicos (nombre, apellidos, dirección…) y, además, biométricos.
EL PAÍS ha consultado al Ministerio del Interior sobre las implicaciones de la normativa, pero la entidad ha declinado responder.
Uno de los agujeros negros de la ley, argumenta Grecia Macías, es que la Secretaría puede compartir los datos con “cualquier entidad gubernamental, privada o financiera”. “Lo que dicen es que básicamente le van a dar acceso a cualquiera sin ningún control previo, sin decir por qué ni qué buscan, puede ser cualquier empresa, la Fiscalía, el Ejército… Imagínense lo peligroso que sería eso. ser: una empresa que está viendo si contrata a alguien y va a este sistema y ve que la persona tiene una anotación de que rectificó su acta de nacimiento para especificar que es mujer u hombre trans y no los contrata”.
El diputado de Morena Pablo Amílcar Sandoval propuso este martes una reserva a la ley aprobada, consistente en incluir “medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, en especial los datos biométricos, a fin de evitar su daño”. , pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado”. Macías responde: “No es suficiente, [la norma] deberia especificar quien [se proporcionan los datos biométricos]por qué, con qué propósito, por cuánto tiempo, por qué se debe manejar, pero para empezar, ni siquiera debería haber un requisito de datos biométricos”.
El abogado de R3D también apunta al sesgo que tiene este sistema en cuanto a etnia o género. “Muchas veces las tecnologías biométricas se entrenan con una idea muy específica del cuerpo humano. Se utiliza como modelo un cuerpo hegemónico, blanco, masculino, sin discapacidad… Se ha documentado cómo este tipo de herramientas fallan cuando se trata de identificar a personas racializadas. Y si no fallan, al ser grupos en situación de vulnerabilidad que son sistemáticamente oprimidos, el Estado gana mucho en poder monitorearlos y poder controlarlos más fácilmente”.
Los datos biométricos se han utilizado antes como un arma de aplicación de la ley. Cuando los talibanes llegaron al poder en Afganistán en 2021, después de la retirada de EE. UU., tomaron el control de los dispositivos de reconocimiento biométrico utilizados anteriormente por el ejército de EE. UU. Con este sistema pudieron acceder e identificar un expediente de personas opuestas a su régimen y vinculadas al gobierno anterior. Además, si los datos caen en manos equivocadas, “los ciberdelincuentes pueden venderlos, usurpar identidades, recrear pasaportes y cometer robos o asesinatos y culpar a otra persona”, añade Víctor Ruiz. “No se puede olvidar que, cuando se creó el registro de usuarios telefónicos en 2009, los datos personales de los usuarios terminaron vendiéndose en el mercado negro”, reitera Mattiace.
El gobierno mexicano ha intentado previamente crear un registro de datos biométricos con el Registro Nacional de Usuarios de Telefonía Móvil, aprobado por el Senado en abril de 2021 y declarado inconstitucional un año después por la Suprema Corte de Justicia de la Nación. “Algo que dice la sentencia Padrón, que es un precedente, es que no se puede obligar a nadie a dar sus datos biométricos sin consentimiento explícito”, sostiene Macías. “Queremos que no haya una base de datos centralizada y que cualquier autoridad pueda acceder a todo”, concluye.
Suscríbete aquí hacia Boletin informativo de EL PAÍS México y recibe toda la información clave de la actualidad de este país