El 16 de julio de 2025, el Gobierno de México publicó en el Diario Oficial de la Federación una reforma que cambia de manera profunda la manera en que se acredita la identidad en el país: la Clave Única de Registro de Población (CURP), la cual, a pesar de haber sido creada en 1996, a partir de esta modificación incorporará datos biométricos y se convertirá en el documento nacional de identificación obligatorio.
La iniciativa, impulsada por la presidenta Claudia Sheinbaum, tiene como objetivo fortalecer la búsqueda e identificación de personas desaparecidas, pero también apunta a modernizar el sistema de identidad en México, ampliando su uso a trámites escolares, bancarios, migratorios, de salud y en el acceso a programas sociales.
¿Qué es la CURP biométrica?
La CURP, que hasta ahora se limitaba a un código alfanumérico acompañado de los datos básicos de cada ciudadano, dará un salto hacia un formato que integrará elementos biométricos:
- Nombre y apellidos.
- Fecha y lugar de nacimiento.
- Sexo y nacionalidad.
- Fotografía del rostro.
- Huellas dactilares.
Este documento será expedido en formato físico y digital, sin costo para la población, y deberá ser aceptado de manera obligatoria por cualquier institución pública o privada que solicite una identificación oficial.
El decreto también contempla la creación de un Programa de Integración de Datos Biométricos dentro del Registro Nacional de Población e Identidad (RENAPO), el cual trabajará en coordinación con gobiernos estatales y municipales para registrar a toda la población, incluidos niñas, niños y adolescentes.
La infraestructura detrás de la identidad digital
Para que la CURP biométrica sea viable, se requiere de una infraestructura tecnológica de alto nivel. La Secretaría de Gobernación, a través del RENAPO, puso en marcha un proceso de licitación para contratar un Servicio Integral de Administración y Operación de los Servicios de Cómputo, que deberá garantizar el funcionamiento seguro y continuo de la base de datos nacional de identidad.
El contrato, con vigencia hasta febrero de 2028, establece que el proveedor ganador deberá ofrecer una solución multicloud que integre al menos a dos de los tres grande proveedores de servicios en la nube, que son Google, Amazon y Microsoft. También se especifica que los datos deben residir en Norteamérica, con equipos de última generación y sin riesgo de obsolescencia. Entre las condiciones clave destacan:
- Ubicación estratégica: el centro de datos debe situarse fuera de la Ciudad de México, en zonas de baja sismicidad y alejadas de instalaciones de riesgo como refinerías o gasolineras.
- Certificaciones internacionales: al menos Uptime Institute TIER III o ICREA IV, además de normas como ISO 27001 (seguridad de la información), ISO 22301 (continuidad del negocio), ISO 27701 (privacidad de la información) y ISO 9001 (gestión de calidad).
- Seguridad reforzada: acceso físico controlado mediante sistemas biométricos (huella digital, iris o retina), vigilancia 24/7 y videograbación permanente sin puntos ciegos, con un resguardo de imágenes mínimo de 30 días.
- Alta disponibilidad: redundancia en energía, conectividad, climatización y respaldo de información, garantizando continuidad incluso ante fallas o emergencias.
- Protección de datos personales: todas las aplicaciones y bases de datos deberán migrarse bajo protocolos de cifrado y borrado seguro, cumpliendo con la Ley General de Protección de Datos Personales.
Además, al concluir el contrato en 2028, toda la infraestructura deberá ser donada irrevocablemente al Estado mexicano, asegurando que la inversión quede bajo control público.
Personal especializado y operación crítica
El proyecto no solo requiere infraestructura, sino también personal altamente calificado. Los licitantes deberán contar con equipos con certificaciones internacionales en gestión de proyectos (PMP, ITIL, SCRUM), especialistas en protección de datos personales y expertos en continuidad de negocio.
El plan de trabajo establece que la migración de servicios —incluyendo aplicaciones, bases de datos y sistemas de seguridad— debe realizarse en un plazo máximo de dos meses después de adjudicado el contrato. A partir de ese momento, el proveedor será responsable de garantizar la operación hasta 2028, con monitoreo constante, reportes mensuales de niveles de servicio y planes de mitigación de riesgos.
Retos y expectativas
La puesta en marcha de la CURP biométrica coloca a México en la ruta de los países que han adoptado sistemas de identidad digital centralizada. El gobierno sostiene que con esta herramienta se fortalecerá la seguridad ciudadana, se agilizarán los trámites y se blindará el acceso a programas sociales contra fraudes o duplicidades.
Sin embargo, expertos han advertido que también plantea retos en materia de derechos digitales y protección de la privacidad, ya que centralizar millones de registros biométricos en una sola base de datos puede generar riesgos de vulneraciones de seguridad o usos indebidos si no existen controles robustos y transparentes.
Los tiempos
El decreto entró en vigor el 17 de julio de 2025. Desde esa fecha, instituciones públicas y privadas cuentan con 90 días para adaptar sus procesos y aceptar la CURP biométrica como documento obligatorio.
De cumplirse el calendario, en menos de tres meses México habrá dado un paso histórico hacia la consolidación de una identidad digital biométrica universal, respaldada por una de las infraestructuras tecnológicas más ambiciosas en la historia reciente del país.
La Licitación Pública Nacional LA-04-812-004000998-N-59-2025 tiene como fechas:
Presentación de proposiciones 30 de agosto de 2025
Junta de aclaraciones 21 de agosto de 2025
Fallo 3 de septiembre de 2025
