Proceso Jorge Bravo

En un periodo extraordinario que concluyó el 1 de julio de 2025 el Congreso de la Unión, dominado por Morena y sus aliados, aprobó un paquete de reformas legales que constituye el más ambicioso sistema de vigilancia y espionaje en la historia de México. Ese andamiaje jurídico, presentado bajo el pretexto de fortalecer la seguridad pública y combatir la delincuencia, representa en realidad una amenaza sin precedentes a la privacidad, los datos personales y los derechos fundamentales de los mexicanos.

La Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública, aprobada en el Senado con 67 votos en favor, 29 en contra y tres abstenciones, otorga al Centro Nacional de Inteligencia (CNI) facultades de acceso irrestricto a toda la información contenida en la Plataforma Única de Identidad. Esta ley establece en su artículo 12, fracción III, que la Secretaría de Seguridad y Protección Ciudadana (SSPC) podrá solicitar a instituciones públicas y privadas el envío de información contenida en cualquier registro administrativo.

Los datos que quedan a disposición de las autoridades incluyen información vehicular, biométrica, telefónica, registros de propiedad, comercio, catastros, fiscales, bancarios, de salud, telecomunicaciones, empresariales y comerciales. Más alarmante aún, la ley establece que pueden incorporarse “todos aquellos datos de los que puedan extraerse indicios, datos e información” útiles para investigaciones.

La Ley General del Sistema Nacional de Seguridad Pública, aprobada con 88 votos en favor en el Senado, complementa este esquema al ordenar la interconexión de bases de datos nacionales e internacionales, tanto públicas como privadas. 

Esta interconexión permite que las autoridades accedan a información sin los controles tradicionales que protegían la privacidad ciudadana.

La reforma a la Ley General de Población, aprobada por 345 votos en favor en la Cámara de Diputados, impone la CURP biométrica como única fuente de identidad para todos los mexicanos y extranjeros con estancia legal. Esta nueva CURP incorpora fotografía, huellas dactilares y datos de identidad completos extraídos de todas las bases de datos convirtiéndose en el documento oficial obligatorio para todos los trámites en el país, y desplazando la credencial para votar del INE.

La magnitud de esta medida es que todo ente público o particular estará obligado a solicitar la CURP biométrica para la realización de trámites y servicios. Desde comprar un teléfono hasta solicitar servicios médicos u hospedarse en un hotel. Cada transacción será registrada y vinculada a la identidad biométrica del ciudadano.

La Plataforma Única de Identidad creada por la Ley General en Materia de Desaparición Forzada permitirá consultas en tiempo real y estará interconectada con bases de datos públicas y privadas. Esta plataforma realizará búsquedas continuas y seguimiento en tiempo real de las actividades realizadas con la CURP.

La Ley para Eliminar los Trámites Burocráticos, aprobada con 63 votos en favor en el Senado, crea la Llave MX como mecanismo de autenticación e identificación vinculado a la CURP. Esta herramienta permitirá eliminar 75% de los trámites presenciales, pero a costa de centralizar toda la información personal en una sola plataforma gubernamental, con los riesgos que ello implica en términos de ciberseguridad.

El artículo 72 de esta ley establece que la Llave MX podrá asociarse a fotografía y huellas dactilares contenidas en registros administrativos. Además, contempla la creación del Expediente Digital Ciudadano que permitirá la interoperabilidad entre bases de datos, registros y sistemas para integrar, consultar y compartir información.

La reforma a la Ley en Materia de Telecomunicaciones y Radiodifusión, aprobada con 369 votos en favor en Diputados, preserva y amplía el sistema de acceso a datos conservados y geolocalización en tiempo real sin controles judiciales de la ley de 2014. 

El artículo 183 establece que los concesionarios de telecomunicaciones deberán colaborar con las instancias de seguridad en la localización geográfica, en tiempo real, de los equipos terminales.

Esta disposición permite que cualquier ciudadano con celular (prácticamente todos) pueda ser geolocalizado en tiempo real sin orden judicial. Los operadores deberán conservar los datos por dos años y las autoridades podrán consultarlos sin control judicial. Esto afecta a más de 100 millones de mexicanos que utilizan teléfonos móviles.

Resulta particularmente preocupante que estas reformas ignoren por completo las resoluciones de la Suprema Corte de Justicia de las Nación. En marzo de 2025, la Primera Sala declaró inconstitucional el artículo 44 de la Ley Federal de Telecomunicaciones y Radiodifusión que contemplaba la entrega de datos conservados sin control judicial previo.

La SCJN determinó que los datos conservados ameritan una protección constitucional fuerte y que su acceso requiere autorización previa de la autoridad judicial.

La construcción de este sistema de vigilancia masiva encuentra precedentes sólo en regímenes autoritarios que han utilizado la tecnología para el control social. Los promotores de estas reformas argumentan que son necesarias para combatir la inseguridad y el crimen organizado. La experiencia internacional demuestra que la vigilancia masiva es ineficaz para prevenir delitos, más bien puede facilitarlos. 

La falta de controles independientes, supervisión judicial y mecanismos de rendición de cuentas convierte este sistema en una herramienta perfecta para el abuso de poder. 

La extinción de organismos garantes de derechos fundamentales como el INAI, el IFT y la renovación del Poder Judicial por voto popular agudizan los riesgos y la politización. En un país donde las instituciones de seguridad han sido infiltradas por el crimen organizado, entregarles acceso irrestricto a información personal de todos los ciudadanos representa un peligro mayúsculo.

El andamiaje de vigilancia y espionaje de la 4T constituye una grave amenaza a la democracia mexicana. Al eliminar los controles judiciales, centralizar la información en manos del Ejecutivo y crear mecanismos de vigilancia masiva sin contrapesos, este sistema transforma al Estado mexicano en un aparato de control social, vigilancia y espionaje incompatible con los principios democráticos.

Twitter: @beltmondi

El País-Jordi Pérez Colomé

La app de Tsunami Democràtic surgió con el reto de coordinar a miles de personas de manera anónima y sigilosa. La promesa de momento no ha cuajado. La organización logra llegar a sus miles de seguidores, sobre todo, a través de Telegram, una aplicación tradicional de mensajería.

El Centro Nacional de Inteligencia (CNI) ha admitido que la plataforma de código abierto que usa la app para anonimizar a sus usuarios, Retroshare, no es tan segura como se pretendía: “Es software y el software tiene vulnerabilidades”, ha dicho Javier Candau, subdirector general adjunto del Centro Criptológico Nacional (CCN), adscrito al CNI.

La aplicación permite su uso a personas que tienen acceso a un código QR, que solo puede compartirse en persona y funciona un número determinado de veces. La idea ingeniosa parece por ahora ser más una herramienta de márketing para sustentar el relato de una organización brillante que un éxito tecnológico. La app se ha usado junto a los canales de Telegram y Twitter para organizar las manifestaciones en el aeropuerto de El Prat y La Jonquera. Por ahora solo se ha anunciado alguna acción en el próximo partido Barça-Real Madrid en el Camp Nou el 18 de diciembre. 

La idea ingeniosa parece por ahora ser más una herramienta de marketing para sustentar el relato

Las dificultades proceden de posibles problemas de implementación de un software con poca usabilidad y no dirigido a grupos de esta magnitud además de las dificultades para hacer crecer masivamente las descargas. Tsunami tiene más de 410.000 seguidores en Telegram. Pero los datos de usuarios activos de la herramienta, que solo está en Android pero no en la tienda de Google Play, debe ser mucho menor. Si además existe una percepción de vulnerabilidad, el reto se complica.

“Hay un montón de herramientas para buscar el anonimato en la Red. Internet en sí ya se hace para que la deducción sea costosa. Encima tenemos proyectos como Retroshare, que es el que usa Tsunami Democràtic, que busca completamente el anonimato. Dicho eso, es software y tiene vulnerabilidades. Seguimos trabajando para analizar estas aplicaciones”, ha explicado Candau.

Las declaraciones de Candau han sido durante la presentación de las 13ª Jornadas del CCN que se celebrarán en Madrid el próximo 10 y 11 de diciembre. El Centro ha aprovechado el acontecimiento para hacer una valoración tradicional del último año, donde ha habido 36 incidentes críticos, de entre los que entre 20 y 22 atribuido a otros Estados.

Candau ha destacado el número de elecciones en España en las que el CCN ha tenido que colaborar. No ha advertido ningún problema grave vinculado a los procesos electorales: “Las más tranquilas fueron las de noviembre”, ha dicho.

El peligro creciente del ‘ransomware’

En cambio, sobre los ataques de ransomware, el CCN ha hablado de un último “trimestre malo”. El ransomware consiste en un virus que se cuela en empresas u organismos para encriptar sus sistemas a cambio de un rescate. Candau ha confirmado algún detalle técnico de los recientes ataques contra la cadena SER y la consultora Everis. Fue con el troyano Emotet, que suele llegar a un sistema por correo electrónico, mediante un documento adjunto. Una vez abierto, desde dentro, avisa a que está allí y se lanza entonces Trickbot, que se despliega por el sistema. La última etapa es el ransomware como tal. Para la SER, fue Ryuk. Para Everis, Bitpaymer. El desarrollo de la campaña hace pensar que fue probable que los ataques fueran planeados y personalizados para cada compañía afectada.

Sobre la presencia de bots en redes sociales en Cataluña tras la sentencia contra los líderes catalanes, el CCN no ha detectado nada extraño: “No se ha detectado un incremento espectacular. Fue un comportamiento muy distinto del registrado el 1 de Octubre. Lo que se plasmó hace unas semanas en las redes era lo que pasaba en las calles”, ha dicho Candau.

El CCN ha presentado la 13ª edición de las jornadas del Centro Criptológico Nacional, que se celebrarán el 11 y 12 de diciembre en Kinépolis (Pozuelo de Alarcón). El Centro aspira a que sea un espacio para difundir la ciberseguridad, un punto de encuentro y una oportunidad para una mejor colaboración público-privada, según ha contado Pablo López, jefe del área de Normativa y Servicios de Ciberseguridad del CCN. Uno de los grandes objetivos de las jornadas será animar la captación de talento, con una competición que reunirá a cien hackers compitiendo en directo y la culminación del proyecto Atenea, que ha congregado a más de 9.200 usuarios durante el año para resolver 101 retos de seguridad.