A partir del 1 de marzo de 2026, todos los mexicanos deberán vincular su número de celular a la CURP. El Gobierno lo vende como un avance inevitable hacia la “identidad digital”, una modernización urgente para frenar fraudes y agilizar trámites. Pero detrás del discurso tecnócrata hay un riesgo monumental que nadie en el poder parece dispuesto a admitir: estamos centralizando datos personales, de contacto y biométricos en un Estado que no ha demostrado capacidad para proteger ni lo que hoy resguarda.
Porque el problema no es solo la vinculación del número telefónico. El verdadero punto crítico es lo que viene después: la integración progresiva de datos biométricos —huellas, rostro, iris— en un ecosistema digital fragmentado, con dependencias que han sido vulneradas por actores criminales con preocupante facilidad. En términos de ciberseguridad, estamos construyendo un “cóctel de ataque” perfecto: identidad, teléfono, biometría y trazabilidad, todo en un solo sistema.
El Gobierno asegura que todo estará protegido con “protocolos de seguridad robustos”, pero los hechos cuentan otra historia. En los últimos años, bases de datos de instituciones públicas han terminado a la venta en foros clandestinos: padrones electorales, expedientes médicos, información fiscal e incluso datos operativos de dependencias estratégicas. Si con sistemas separados ya hemos sufrido filtraciones graves, ¿qué podríamos esperar de una base unificada que concentre elementos suficientes para suplantar por completo a una persona?
Los mercados negros de datos en la dark web no buscan solo números telefónicos: buscan identidades completas, listas para operaciones de fraude financiero, extorsión automatizada, ingeniería social dirigida o acceso a servicios gubernamentales y privados. Con la vinculación obligatoria del celular a la CURP, México se encamina —sin controles externos, sin auditorías independientes y sin estándares de ciberseguridad alineados a mejores prácticas internacionales— a producir exactamente ese tipo de activos digitales que los ciberdelincuentes más valoran.
El punto más sensible es que los datos biométricos, a diferencia de una contraseña o un número telefónico, no se pueden cambiar. Una filtración es permanente. Irreversible. Y en un país donde incluso la Policía Cibernética ha sido víctima de hackeos, pensar que un sistema nacional de identidad digital quedará inmune es, cuando menos, imprudente.
Mientras el Gobierno promete módulos de registro y campañas informativas, guarda silencio sobre preguntas esenciales:
—¿Qué estándares de cifrado se aplicarán?
—¿Habrá pruebas de penetración realizadas por equipos independientes?
—¿Qué ocurre si un proveedor externo resulta comprometido?
—¿Cómo se evitará la venta clandestina o la reutilización indebida de datos biométricos en plataformas privadas?
La modernización digital no puede construirse sobre confianza ciega. Se construye sobre infraestructura, auditorías, talento especializado y marcos regulatorios sólidos. Nada de eso está claramente planteado hoy.
Vincular el celular a la CURP podría ser útil en un ecosistema seguro, interoperable y auditado. Pero en el México actual —con brechas tecnológicas profundas, sin un organismo nacional de ciberseguridad operativo, con antecedentes constantes de filtraciones y con bases completas de datos personales circulando en mercados criminales— esta medida luce más como un riesgo sistémico que como un avance.
Antes de pedir más información a la ciudadanía, el Estado debe demostrar que puede resguardar la que ya tiene. De lo contrario, estaremos entregando el equivalente digital de nuestra identidad completa… directamente a un ecosistema que no ha logrado proteger ni sus propios sistemas.
| Fase | Fecha aproximada | Evento |
| Anuncio oficial | Finales 2025 | Gobierno presenta la medida |
| Preparación tecnológica | Ene–Feb 2026 | Infraestructura y pruebas |
| Inicio obligatorio | 1 marzo 2026 | Registro activo en plataformas |
| Transición | Mar–Dic 2026 | Registro general de ciudadanos |
| Restricciones | 2027 Q1 | Servicios condicionados |
| Consolidación | 2027–2028 | Integración con biometría y ecosistema digital |
| Riesgos | 2026–2028 | Intentos de hackeo y filtraciones probables |
| Legislación futura | 2027–2029 | Ajustes y creación de organismos |
Timeline del Proyecto de Vinculación Celular–CURP
1. Anuncio oficial y publicación del lineamiento (2025 Q4 – 2026 Q1)
- El RENAPO y Segob dan a conocer la medida públicamente.
- Publicación de los lineamientos operativos en el DOF.
- Lanzamiento de la plataforma preliminar y pruebas internas.
2. Periodo de preparación tecnológica (enero–febrero 2026)
- Integración de módulos de registro celular dentro del Sistema Nacional de Identidad.
- Ajustes en bases de datos estatales y municipales.
- Pruebas piloto con dependencias federales (IMSS, SAT, bancos).
- Pruebas de carga, interoperabilidad y verificación de APIs gubernamentales.
(Este punto es crítico; históricamente suele retrasarse por falta de infraestructura.)
3. Inicio obligatorio del registro (1 de marzo de 2026)
- Se habilita el registro en los portales oficiales del gobierno.
- Comienza la campaña masiva de comunicación social.
- Apertura de módulos de apoyo en oficinas públicas y centros comunitarios.
- Emisión de claves de verificación vía SMS o app gubernamental.
4. Periodo de transición voluntario–forzoso (marzo–diciembre 2026)
- Los ciudadanos pueden registrar su número sin sanciones inmediatas.
- Instituciones públicas comienzan a solicitar la vinculación para ciertos trámites digitales.
- Ajuste de sistemas privados (bancos, aseguradoras, fintech, telecomunicaciones).
- Acumulación de la base de datos unificada celular–CURP.
- Inicio de integración futura con datos biométricos capturados por otras dependencias.
5. Aplicación de restricciones por omisión (2027 Q1)
- Acceso limitado o condicionado a trámites digitales si el usuario no ha vinculado su número.
- Dependencias federales comienzan a exigir el registro para firmar o validar documentos electrónicos.
- Bancos y empresas de telecomunicaciones empiezan a cruzar bases para verificación de identidad.
6. Consolidación del sistema de Identidad Digital Nacional (2027–2028)
- Posible integración con datos biométricos certificados previamente por otras instituciones.
- Implementación de autenticación multifactor obligatoria para trámites sensibles.
- Centralización progresiva en la Plataforma Nacional de Datos (ya contemplada en varias dependencias).
- Desarrollo de un sistema de score de identidad o riesgo (similar a otros países).
7. Riesgos colaterales esperados (2026–2028)
- Incremento del valor de la base de datos en mercados criminales.
- Intentos de hackeo contra RENAPO, Segob, Proveedores TI y Telcos.
- Posible filtración parcial o total de la base de números celulares–CURP.
- Aparición de fraudes sofisticados basados en ingeniería social con datos más precisos.
8. Ajustes legislativos posteriores (2027–2029)
- Incorporación de biometría como requisito estándar.
- Nuevas reglas sobre almacenamiento, tratamiento y sanciones.
- Creación o fortalecimiento (finalmente) de una Agencia Nacional de Ciberseguridad.
- Auditorías externas obligatorias —si la presión mediática y política es fuerte—.
