Análisis de Riesgos, Presupuesto y Vulnerabilidades de Ciberseguridad
Plataformas digitales con vulnerabilidades identificadas. Presupuesto insuficiente (135x menor que requerido) esto hace qque sea inviable llegar a zonas rurales excluyendolas del sitema, ya que es OBLIGATORIA y el acceso al sistema financiero, salud (que igual no hay), esto afeecta comunidades enteras que no podran renovar su documeentacion en RENAPO y perderan el derecho al agua dde forma "legal" para reasignar esa misma agua a proyectos de Hidrogeno verde . Desactivación de autoridad independiente (INAI). Acceso sin restricciones por "inteligencia" (cualquiera que tenga acceso, policia, crimen organizado, todos menos tu), en esta opracion la ley solo es estricta conn el pueblo pero no tiene reglas reales para actores criminales solo menciona mal uso, pero no especifica que es el "mal uso", Ver detalles abajo.
| Institución/Evento | Registros | Año | Tipo de Datos | Severidad |
|---|---|---|---|---|
| Megabase 700GB | 700,000,000 | 2025 | Fiscales, bancarios, médicos, telefónicos | CRÍTICA |
| AT&T | 160,000,000 | 2024 | Telefónicos, servicios | CRÍTICA |
| Consejería Jurídica Presidencia | 206,000,000 | 2025 | Documentos sensibles | CRÍTICA |
| IMSS (Pensionados) | 20,000,000 | 2025 | Biométricos, médicos, CURP | CRÍTICA |
| INE | 80,000,000 | 2024 | Electoral, acceso sistemas | CRÍTICA |
| INFONAVIT | 80,000,000 | 2024 | Hipotecarios, identidad | CRÍTICA |
| PCM (RansomHub) | 3,000,000 | 2025 | Tecnológicos, empresariales | ALTA |
| SAT/IMSS-BIENESTAR | 100,000 | 2025 | Fiscales, médicos, identidad | ALTA |
| Sedena (Guacamaya) | 4,000,000 | 2022 | Militares, operacional | ALTA |
| UNAM | 500,000 | 2026 | Académicos, administrativos | MEDIA |
✓ Entregar biometría (obligatorio desde Feb 2026)
✓ Proporcionar huellas, iris, fotografía
✓ Sin consentimiento informado real
✓ Sanción: Imposibilidad acceso servicios públicos
✓ Riesgo: Vigilancia sin orden judicial
✗ Sin garantía de protección definida
✗ INAI (árbitro independiente) desactivado
✗ Acceso discrecional sin límites legales
✗ Sanción por filtraciones: Nula a mínima
✗ Excusa: "No hay recursos"
✓ Multas a ciudadanos: Sin acceso a servicios que se garantizan en la constitucion mexicana y que son derechos humanos fundamentales e internacionales
✓ Multas a instituciones: $1.13-2.26M máximo
✗ Penas a funcionarios: nunca aplicadas, el nivel de impunidad en mexico es tan alto que a los verdaderos delincuentes les dan embajadas o los defienden como si fueran la patria
✗ Compensación a víctimas: Inexistente
✗ Ejemplo: IMSS 20M filtrados = 0 destituciones
✗ Protocolos de seguridad: No especificados
✗ Estándares de cifrado: Indefinidos
✗ Auditoría independiente: Eliminada
✗ Aviso de privacidad: No actualizado
✗ Reclamaciones ciudadanas: Sin mecanismo claro
Riesgo: Equipamiento biométrico (huellas, iris) no especifica fabricante ni procedencia. Posible presencia de backdoors. Cadena de suministro sin auditoría pública.
Riesgo: Licitación fallida (Sept 2025). Adjudicación directa abre puerta a conflictos de interés. Proveedor (Veridas) sin auditoría de antecedentes públicos.
Riesgo: 62% de organismos públicos carecen de personal especializado. Centro Nacional Control Energía: 56% cumplimiento en detección incidentes.
Riesgo: "Ausencia total de capacidad de respuesta a incidentes" según ATDT federal. Precedentes: IMSS filtración = reconocimiento sin acción.
Riesgo: $520M para nube vs. $70-80B requerido. Comparación: Empresa privada protege 500k usuarios con $1,000M USD. CURP: 130M personas.
Riesgo: INAI desactivado 2025. Funciones trasladadas a Segob (que crea CURP) y Transparencia para el Pueblo (sin autonomía). Conflicto de interés integrado.
✗ Datos biométricos: Sin restricción
✗ Datos bancarios: Transacciones completas
✗ Datos telefónicos: Metadatos + contenido
✗ Datos fiscales: Histórico completo
• Centro Nacional de Inteligencia
• Plataforma Central de Inteligencia
• SSPC como único beneficiario
• Sin auditoría independiente
⚠️ Vigilancia de opositores políticos
⚠️ Monitoreo de activismo social
⚠️ Canalización a actores privados
⚠️ Sin mecanismo de protesta ciudadana
Especificaciones tan restrictivas que solo proveedores predeterminados pueden cumplir. Rechazo de propuestas viable permite adjudicación directa sin competencia.
Negociaciones en la sombra. Sin expedientes públicos. Precios inflados. Evasión de auditoría. Justificación: "urgencia" y "seguridad nacional".
Veridas: Matriz España, sin evaluación pública. No existe auditoría de antecedentes. Sin claridad sobre datos residuales procesados.
INAI desactivado. Funciones a Segob (creador de CURP). Conflicto de interés integrado. Empresa + Estado = relación cooptada.
Filtraciones masivas → reconocimientos vagos → sin sanciones. Precedente: IMSS 20M filtrados = 0 destituciones. Impunidad de facto.
Estado centraliza datos sin presupuesto real de protección. Luego culpa a "falta de recursos" por brechas. Evasión de responsabilidad estructural.
Obligado a entregar biometría permanente e insustituible. Sin garantías de protección. Vigilancia potencial sin consentimiento. Sanciones por incumplimiento.
Acceso irrestricto sin control independiente. Filtraciones = "sin recursos". Precedentes de impunidad. Eliminación de árbitro (INAI). Exculpación estructurada.
Sin competencia real (licitaciones fallidas). Contratos lucrativos sin auditoría robusta. Colusión tácita con autoridades. Beneficiarios de captura regulatoria.
No es proyecto fallido. Arquitectura intencional. Concentra datos, facilita vigilancia, elude responsabilidad, normaliza impunidad. Asimetrías por diseño.
Evento: Grupo Scorpion filtró datos de 20M pensionados (CURP, médicos, sangre, dirección).
Reconocimiento: "Posible filtración por uso indebido de acceso institucional"
Respuesta: Ninguna destitución de funcionarios documentada. Sin compensación. Sin plan de cierre. Argumento: "No hay capacidad de respuesta".
Implicación: Establece que filtraciones masivas se tratan como problemas administrativos menores.
Evento: Grupo Guacamaya filtró 4M documentos militares operacionales.
Respuesta: Investigación, luego olvido. Sin auditoría externa continua.
Implicación: Precursor de patrón: exposición grave → reconocimiento → inacción permanente.
Evento: Filtración de datos fiscales, médicos de autoridades.
Status: Investigación pendiente sin resolución pública.
Implicación: Normalización del silencio oficial ante incidentes críticos.
No accidentes aislados. Filtraciones masivas desde 2022 por grupos organizados (Scorpion, RansomHub, Chronus, Sociedad Privada 157).
Acceso persistente indicando credenciales comprometidas, supervisión deficiente, vulnerabilidades sin parchear.
Implica negligencia negligencia OR intención deliberada de no invertir en seguridad real.
✗ Nivel de cifrado: No especificado
✗ Estándares mínimos: No establecidos
✗ Auditoría independiente: Eliminada
✗ Certificaciones requeridas: No listadas
✗ No especificado si datos concentrados o distribuidos
✗ Crítico: Un servidor = un punto crítico de fallo
✗ Sin publicación de arquitectura
✗ Máximo riesgo con presupuesto mínimo
✗ Obligatoriedad anula consentimiento real
✗ Avisos de privacidad no actualizados
✗ Ciudadano: "Consiente o no accedes a servicios"
✗ Viola derecho fundamental a autodeterminación
✗ Sin procedimiento claro si biometría comprometida
✗ Sin compensación por daños
✗ Sin restauración de identidad tras suplantación
✗ Sin vía de protesta independiente (INAI disuelto)
✗ Acceso sin orden judicial a CURP
✗ SSPC determina "casos" de necesidad
✗ "En su caso" = discrecional del ejecutivo
✗ Sin transparencia de solicitudes
✗ INAI: Desactivado
✗ Segob: Creador de CURP = árbitro = imposible
✗ Transparencia para el Pueblo: Sin autonomía
✗ Zero cheques and balances
Pausar CURP biométrica hasta que:
• Restaurar INAI como autoridad independiente
• Licitación pública competitiva (no adjudicación directa)
• Auditoría externa de ciberseguridad
• Remoción de protocolos de vigilancia paralela
• Restaurar INAI con autonomía real
• Auditorías continuas de acceso
• Publicación de solicitudes SSPC (anonimizadas)
• Sanciones vinculantes por violaciones
• Asignar $70-80B mínimo (no $520M)
• Infraestructura redundante (no punto único fallo)
• Personal especializado en ciberseguridad
• Evaluación anual por terceros independientes
• Especificar fabricante y origen de equipamiento
• Auditoría de backdoors y vulnerabilidades
• Cadena de suministro pública
• Certificaciones de seguridad internacionales
• Consentimiento real (no obligatorio bajo coerción)
• Opción alternativa de identificación
• Derecho a acceso de datos propios
• Compensación por filtraciones documentadas
• Encarcelamiento efectivo por filtraciones
• Precedentes actuales: cero destituciones
• Sanciones simétricas (no asimétricas)
• Investigación de colusión Estado-Empresa
Vulneración: Falla en código library usado en certificados digitales.
Afectados: 750,000 tarjetas eID comprometidas
Impacto: Posibilidad de crear certificados digitales en nombre de otros, comprometer sistema electoral y gubernamental.
Respuesta: Negación inicial de problema, luego suspensión de certificados.
Vulneración: Scraping de 30 billones de fotos de Facebook, Instagram, sitios de noticias sin autorización.
Uso abusivo: Identificación falsa, arrestos injustificados, vigilancia de BLM protesters.
Casos documentados: Hombre en Nueva Jersey pasó 10 días en cárcel por falsa identificación | Hombre en Detroit arrestado por coincidencia falsa | Activistas BLM vigilados sin warrant.
Respuesta: Múltiples multas (ignoradas), sigue operando.
Vulneración: Datos biométricos (rostros), licenses, direcciones, timestamps de visitas filtrados.
Afectados: 1 millón de personas en NSW y ACT
Causa: Contratista (Outabox) en Filipinas + proveedores terceros sin seguridad
Datos expuestos: Fotos faciales, información de máquinas tragaperras, historial de visitas.
Respuesta: Arrestos por extorsión, investigación pendiente.
Vulneración: Base de datos centralizada de 1.4 billones de ciudadanos, 850M registros filtrados a dark web.
Afectados: ~850 millones de indios (CURP biométrica de India)
Datos expuestos: Aadhaar numbers, pasaporte, datos demográficos completos
Causa: Arquitectura centralizada + mínimas medidas de seguridad adicionales
Respuesta: Investigación, pero sin cambios estructurales en sistema.
Vulneración: Recopilación masiva de iris biometría a cambio de criptomonedas sin procedimientos de consentimiento.
Tailandia: 1.2 millones de iris scans en 2024 | Investigación DSI: ¿dónde se almacenan? ¿Transferidos al extranjero?
Kenia: Corte Suprema prohibió, ordenó eliminación permanente en 7 días
Corea del Sur: Multa $790,000 por colección sin consentimiento, 29,991 personas afectadas
Patrón: Ambigüedad deliberada sobre si iris code es "anónimo" vs. biometría sensible.
Vulneración: Plataforma de acceso biométrico web usada en 1.5 millones de ubicaciones globales (bancos, fuerzas militares, defensa).
Afectados: 27.8 millones de registros, 23 GB de datos
Datos expuestos: 1M+ huellas dactilares sin encriptar + fotos de reconocimiento facial
Acceso obtenido: Investigadores pudieron ver movimientos de empleados en tiempo real, cambiar datos, agregar usuarios ficticios
Ubicaciones comprometidas: Indonesia, USA, UK, India, Finlandia, Sri Lanka.
Causa: Contraseñas administrator en texto plano, sin validación de seguridad.
Duración: 2:15 minutos
Tema: Canadiense pasó 10 días en cárcel en USA por falsa identificación de software Clearview AI.
Relevancia: Demuestra sesgo racial y error sistemático de tecnología facial en identificación criminal.
Duración: 17:59 minutos
Tema: Investigación profunda sobre Clearview AI scrapeando 30 billones de fotos, falsos arrestos, vigilancia de activistas BLM.
Relevancia: Muestra cómo tecnología biométrica puede ser arma de represión política.
Duración: 17:59 minutos
Tema: Clearview AI operando con 300+ departamentos policiales USA, sin transparencia ni consentimiento.
Relevancia: Documenta acceso sin regulación a bases de datos biométricas por autoridades.
Duración: 1-2 minutos
Tema: Ciudadano galés demanda policía por usar reconocimiento facial sin consentimiento.
Relevancia: Precedente legal contra vigilancia biométrica no autorizada.
Tema: Captura de criminal en tiempo real usando live facial recognition.
Estadística: 500+ arrestos en Londres el año pasado usando esta tecnología.
Riesgo: Muestra poder de vigilancia masiva (y su potencial abuso).
Fuentes: Reportes de Biometric Update, EFF, Tech Policy Press.
Conclusiones clave:
• Falsos positivos inevitables en bases de datos grandes
• Sesgo racial documentado en reconocimiento facial
• Imposibilidad de cambiar biometría si comprometida (vs. contraseña)
• Centralización = punto crítico único de fallo
• Colusión empresa-gobierno reduce supervisión