PUI

Transformación del Modelo de Identificación y Gobernanza Digital en México

BLOG Robo de Identidad, Ciberseguridad y Protección de Datos
January 10, 20265 min read

Plataforma Única de Identidad (PUI):

Transformación del Modelo de Identificación y Gobernanza Digital en México**

Introducción: la identidad como nuevo eje del poder digital

México ha cruzado una línea histórica.

Con la publicación, el 27 de noviembre de 2025, de los Lineamientos para el Desarrollo y Operación de la Plataforma Única de Identidad (PUI) en el Diario Oficial de la Federación, el Estado mexicano consolidó uno de los cambios más profundos en su arquitectura institucional desde la creación del INE o el padrón electoral.

No se trata únicamente de digitalizar trámites ni de modernizar registros civiles.
Estamos frente a la reconfiguración del concepto de identidad, del vínculo entre ciudadanía, tecnología y poder público.

La PUI convierte a la CURP durante décadas un identificador administrativo en el núcleo obligatorio de la identidad nacional, integrando datos biométricos y habilitando su uso transversal por autoridades públicas y actores privados.

Esto abre una pregunta que no es técnica, sino ética y democrática:

¿Estamos construyendo un modelo de identidad para proteger a las personas o un sistema que puede terminar vigilándolas?

I. Origen y marco normativo: cuando la identidad se vuelve infraestructura crítica

La PUI no surge en el vacío.
Es el resultado de un proceso legislativo acelerado iniciado en julio de 2025, con reformas clave a:

  • Ley General de Población

  • Ley General en Materia de Desaparición Forzada de Personas

  • Reglamentos internos de la Agencia de Transformación Digital y Telecomunicaciones (ATDT)

El argumento central fue atender una realidad innegable:
la crisis de desapariciones y la incapacidad histórica del Estado para coordinar información entre fiscalías, registros civiles, servicios forenses y sectores privados.

Desde el legislador se sostuvo que la identidad es un derecho humano, pero también una condición operativa para la seguridad pública, lo que justificó la creación de una fuente única de identidad interoperable y en tiempo real.

Así, la CURP dejó de ser un código… para convertirse en infraestructura nacional.

PUI Control

II. La nueva CURP biométrica: del registro administrativo al control identitario

La transformación de la CURP es el corazón de la PUI.

Antes (modelo pre-2025):

  • Identificador alfanumérico

  • Sin biometría obligatoria

  • No válida por sí sola como ID oficial

  • Uso limitado a trámites administrativos

Ahora (modelo PUI):

  • CURP con biometría obligatoria

  • Documento nacional de identificación

  • Válida para trámites públicos y privados

  • Validación en tiempo real

La nueva CURP integra:

  • Fotografía facial

  • Huellas dactilares

  • Escaneo de iris (en ciertos casos)

  • Firma electrónica vinculada

Esto responde a un problema real:
la suplantación de identidad, que impacta banca, telecomunicaciones, programas sociales y procesos judiciales.

Pero también crea un riesgo sistémico:
los datos biométricos no se pueden cambiar.

III. Gobernanza institucional: ¿quién controla la identidad?

La PUI se gobierna desde una arquitectura concentrada:

  • SEGOB: conducción política y normativa

  • RENAPO: custodia y administración de la identidad

  • ATDT: infraestructura, nube y ciberseguridad

Aquí aparece una tensión estructural:
la identidad de más de 130 millones de personas queda bajo el control directo del Poder Ejecutivo, sin un órgano autónomo especializado que supervise de manera independiente el tratamiento de datos biométricos.

En un contexto donde el INAI ha sido debilitado y/o eliminado, esta concentración exige alertas democráticas.

IV. La PUI como sistema de búsqueda… y de monitoreo

Uno de los elementos más disruptivos de la PUI es su funcionalidad de monitoreo continuo.

Cuando una persona es reportada como desaparecida:

  • Su CURP se marca como “en búsqueda”

  • Cualquier uso en sistemas de:

    • salud

    • banca

    • telecomunicaciones

    • transporte

    • servicios públicos
      genera alertas automáticas

Este diseño puede salvar vidas.
Pero también inaugura un modelo donde la actividad administrativa se vuelve rastreable en tiempo real.

El dilema es claro:

¿Dónde termina la búsqueda legítima y dónde comienza la vigilancia estructural?

V. El sector privado: corresponsable de la identidad nacional

La PUI obliga a sectores privados estratégicos a integrarse al sistema:

  • Bancos y fintech

  • Telecomunicaciones

  • Salud

  • Transporte

  • Paquetería

Las empresas deben:

  • Validar identidad vía CURP biométrica

  • Permitir consultas en casos de búsqueda

  • Ajustar sus procesos de autenticación

Esto redefine la relación empresa–usuario–Estado.
La identidad deja de ser solo un requisito comercial y se convierte en una extensión del aparato estatal.

CURP Datos Obligatorios

VI. Ciberseguridad: el punto único de falla

Desde una perspectiva técnica, la PUI es un objetivo de alto valor.

Una sola brecha podría exponer:

  • huellas

  • rostro

  • iris

  • historial administrativo

Aunque la ATDT ha implementado:

  • cifrado avanzado

  • autenticación multifactor

  • trazabilidad

  • segmentación de redes

la historia nos demuestra que ningún sistema es infalible.

La pregunta clave no es si habrá intentos de ataque, sino:

¿qué pasará el día que ocurra una filtración?

VII. Derechos humanos: el riesgo del consentimiento forzado

Aquí se encuentra el punto más delicado.

La ley habla de consentimiento, pero:

  • si la CURP biométrica es necesaria para salud, educación y banca,

  • el consentimiento no es libre, es condicionado.

Además, existen riesgos claros de exclusión para:

  • adultos mayores

  • personas con discapacidad

  • personas trans

  • trabajadores manuales

Un sistema de identidad que excluye viola el derecho que pretende proteger.

VIII. Lecciones internacionales: qué aprender y qué no repetir

Casos como Aadhaar (India) o Estonia muestran dos caminos:

  • Estonia: identidad digital con controles, descentralización y auditoría

  • India: sistema masivo con errores, filtraciones y exclusión

México aún está a tiempo de decidir qué modelo seguirá.

Sistema Nulo para identificación Forense

Conclusión: identidad, sí… pero con límites claros

La Plataforma Única de Identidad no es mala por definición.
Puede ser una herramienta poderosa para:

  • localizar personas

  • reducir fraudes

  • modernizar el Estado

Pero sin:

  • contrapesos institucionales

  • supervisión independiente

  • límites judiciales claros

  • transparencia técnica

corre el riesgo de convertirse en un sistema de control permanente.

La identidad digital debe servir para empoderar, no para vigilar.
Para proteger, no para condicionar derechos.

El verdadero reto de la PUI no es tecnológico.
Es democrático.

Y esa discusión no debe darse solo en el Congreso,
sino en la sociedad.

Identidad biométricaDerechos digitales Ciberseguridad gubernamental Vigilancia digital Transformación digital del Estado Infraestructura crítica digital
BLOG que busca empoderar a la Sociedad, Empresas, Gobiernos y Academias para enfrentar los desafíos y Estrategias contra el Robo de Identidad y los Ciberdelincuentes en la acelerada trasnformación digital del mundo

BLOG Robo de Identidad, Ciberseguridad y Protección de Datos

BLOG que busca empoderar a la Sociedad, Empresas, Gobiernos y Academias para enfrentar los desafíos y Estrategias contra el Robo de Identidad y los Ciberdelincuentes en la acelerada trasnformación digital del mundo

Back to Blog