En las últimas dos semanas, el Gobierno Federal aprobó un paquete de leyes en el Congreso de la Unión que constituyen un sistema sin precedentes de vigilancia masiva estatal que pone en riesgo y lesiona los derechos y la seguridad de todas las personas en nuestro país. No se trata de una sola ley, sino de varias regulaciones que articulan un sistema total de acceso, producción y procesamiento de datos sensibles que afecta a los derechos de privacidad, protección de datos personales y seguridad jurídica.
La estrategia ha sido efectiva. Analizar por separado los cambios legislativos impide dimensionar el alcance y la gravedad del nuevo sistema de vigilancia. Al mismo tiempo, disponer de narrativas legitimantes que tienen sentido e incluso un atractivo moral y de justicia, de forma parcial y descontextualizada, dificulta la oposición. ¿Quién no querría más seguridad? ¿Quién no estaría de acuerdo con mejorar la situación de las personas desaparecidas y sus familiares? ¿Quién no desearía trámites más eficientes? ¿Quién se opondría a “pacificar” el país y tener autoridades que cuenten con herramientas efectivas para enfrentar la delincuencia, el narcotráfico y el crimen organizado?
Analizado en conjunto, el paquete legislativo muestra una intención clara de establecer un sistema de vigilancia que dé al Gobierno Federal, por medio de distintas autoridades adscriptas a él (como las de seguridad pública) pero también al Ejército, el acceso a toda la información que es posible producir, obtener y procesar de todas las personas en el país. Esta última afirmación puede parecer alarmista. Se requeriría de una pésima situación de base y de un avance desproporcionado para alcanzar la distopía del panóptico moderno, echando mano de las tecnologías, de la erosión del discurso de los derechos (y de la democracia) y de la eficacia del discurso del miedo y la inseguridad. Eso es lo que tenemos en el rompecabezas que crea al nuevo sistema de vigilancia total.
Punto de partida: vigilancia masiva y espionaje estatal sin controles
Tomar como primera pieza del rompecabezas (podría ser analíticamente distinto) la legislación sobre telecomunicaciones y radiodifusión nos da una ventaja temporal: nos ayuda a entender de dónde venimos para mirar más claro a dónde llegamos. Desde el año 2014, con la aún vigente Ley de Telecomunicaciones y Radiodifusión, se estableció un sistema de conservación de datos de personas usuarias y de acceso a la geolocalización (la determinación geográfica de los dispositivos móviles) en tiempo real, que fue sistemáticamente abusado por parte de distintas autoridades.[1]
El capítulo de “Colaboración con la Justicia” (artículos 189 y 190 de dicha ley) fue criticado en ese entonces por establecer un registro de metadatos (los datos de las llamadas telefónicas, tales como el lugar, la hora, el tiempo de llamada, el número con el que se realizó la llamada) por hasta dos años, de todas las líneas telefónicas existentes en el país (obligando a las empresas de telefonía a conservar esos datos y a dar acceso a las autoridades en ciertas circunstancias), y de la localización geográfica en tiempo real de los equipos de dichas líneas telefónicas.
A pesar de las advertencias de los riesgos de vigilancia que este sistema implicaba (y del riesgo desproporcional a la privacidad y la protección de datos), el registro funcionó de manera paralela a la obligación de contar con una orden judicial previa que permitiera el acceso a los datos conservados y la geolocalización. En la práctica, este requisito se evitó de varias formas. Algunas veces, las autoridades lo evadieron mediante interpretaciones extra-legales que tomaban a esta información como algo distinto a “comunicaciones privadas” (para así evitar el artículo 16 constitucional), otras veces simplemente no solicitaban la autorización judicial en absoluto, y muchas otras utilizaron de manera abusiva el mecanismo excepcional del artículo 303, párrafo 6, del Código Nacional de Procedimientos Penales, que permite acceder a esta información sin autorización judicial en casos de riesgo de vida —y otros— que justifiquen actuar con urgencia, a condición de que esta solicitud sea ratificada dentro de las 48 horas seguidas solicitando dicha autorización.[2]
Al presentar la nueva Ley de Telecomunicaciones y Radiodifusión, este fue uno de los puntos de mayor preocupación en los conversatorios abiertos por el Gobierno Federal en la Cámara de Senadores, en los que organizaciones de derechos humanos, personas académicas y expertas se pronunciaron a favor de establecer salvaguardas democráticas que permitieran establecer controles a la vigilancia y garantizaran el derecho a la privacidad (tales como establecer claramente la obligación de contar con una orden judicial previa para el acceso, determinar clara y concretamente qué autoridades —con nombre y apellido— tenían la facultad de solicitar el acceso a esta información, imponer obligaciones estadísticas sobre las solicitudes de las autoridades y empresas de telecomunicaciones, y garantizar el derecho de notificación de las personas afectadas por el acceso a sus datos o geolocalización). Se trataba de una oportunidad única de corregir los abusos de la vigilancia en el país, que estaba en manos de legisladores que en su momento se opusieron a la ley del 2014 y ahora están del lado de la mayoría legislativa del Gobierno Federal.
Pero el problema en esta ley no se limitó a mantener lo viejo (violatorio a derechos humanos y autoritario en su carácter), sino que además, el dictamen inicial (que intentó ser aprobado fast-track) creaba un nuevo Registro Obligatorio de Usuarios de Telefonía Móvil que replicaba al anterior Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), que había sido declarado inconstitucional por la Suprema Corte de Justicia de la Nación (SCJN)[3] por violar la privacidad de las personas.[4] Aunque este registro fue “removido” por las duras críticas recibidas,[5] la decisión del gobierno fue “tercerizar” dicho sistema a las empresas de telecomunicaciones, quienes ahora tendrán la obligación de vincular todas las líneas telefónicas a una identidad comprobada (artículo 103 del último dictamen presentado), y de facilitar la información relativa a éstas a las autoridades, cuando así lo dispongan.[6]
La CURP biométrica como la máquina de información total
La Ley General de Población establece la obligación de contar con una CURP que tenga incorporados los datos biométricos de las personas y que, de manera obligatoria, requiera su utilización para realizar todo trámite y acceder a cualquier servicio público o privado (artículo 91 BIS y 91 sexies). Es importante subrayar esta idea: a partir de ahora, se condicionará el acceso a servicios y se exigirá que todo trámite y servicio quede registrado a través del uso de la CURP con información biométrica de cada persona en México. Esta plataforma registrará (y mandará alertas) cada vez que es utilizada, lo que significa, en términos prácticos, la asociación de la actividad diaria de las personas a su identidad, y su transferencia a una plataforma donde autoridades civiles o militares podrán consultarla en tiempo real y sin ningún control o límite claro.
El Gobierno Federal prometió, frente a colectivos de familiares víctimas por desapariciones forzosas, que esta información sería utilizada únicamente con el fin de búsqueda y fortalecimiento de acciones en casos de desaparición forzada. Sin embargo, minutos antes de la “discusión” y aprobación del dictamen sobre la Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública (en adelante Ley de Inteligencia), se agregó un artículo que permitió que esta información sea utilizada discrecionalmente para acciones de inteligencia en general y para los fines de esa ley, por las autoridades facultadas en ésta (artículo 28 de esa ley).
Ensamblada como parte complementaria del rompecabezas en torno a la CURP biométrica y el uso de su información para el sistema de vigilancia en general, la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, crea la Plataforma Única de Identidad (artículo 12 en conexión con el artículo 91 de la Ley General de Población), que será el sistema en donde toda la información relacionada con la actividad de cada persona (generada por la CURP biométrica) será incorporada. A través de esta, la información estará al servicio del sistema creado en la Ley de Inteligencia, en donde distintas autoridades podrán acceder, en tiempo real y sin ningún control democrático ni obligación de rendir cuentas, a toda la información generada por las personas (artículo 28, Ley de Inteligencia).
El Ejército como perro guardián de todo lo que hacemos
La reforma a la Ley de la Guardia Nacional trajo aparejada una modificación, medianamente desapercibida, a la Ley Orgánica de la Administración Pública Federal, en la que se dio a la Secretaría de la Defensa Nacional (Sedena) la facultad de llevar a cabo medidas de inteligencia sin ningún control judicial o de otro tipo (artículo 29, fracciones XXI a XXIII). El Ejército logró legalizar actividades que había realizado durante años por fuera de la ley y que habían sido ampliamente documentadas por organizaciones de la sociedad civil.[7]
Es en ese ordenamiento donde se cumplió lo que el Ejército buscaba desde hace tiempo. A partir de ahora, su deseo de acceder a toda la información y de realizar tareas de vigilancia sin controles está materializado en la ley. Ahora, sin controles ni deber alguno de rendir cuentas sobre la forma en que use esa información, la Sedena contará con el argumento “legitimador” de poder hacer uso de la información contenida en la Plataforma Central de Inteligencia como parte de sus tareas contenidas en la ley (artículo 44, Ley de Inteligencia).
La Ley de la Guardia Nacional modificó otro elemento fundamental que se relaciona con la Ley de Telecomunicaciones y el acceso a datos conservados (metadatos) y la localización en tiempo real de dispositivos móviles (geolocalización). El texto del artículo 9, fracción XXVI, en el que se exigía contar con una orden judicial previa para acceder a estos datos e información, cambió para plantear de forma ambigua que dicho candado (correspondiente al artículo 16 constitucional) se requiera para la intervención de las comunicaciones privadas y no para el acceso a metadatos y geolocalización. Este cambio se corresponde con la distinción hecha en las últimas semanas por el Gobierno Federal, de que toma como comunicaciones privadas el acceso a contenidos de llamadas y mensajes, pero no los metadatos y la geolocalización.
Por si fuera poco, además de la ampliación de poderes, la reforma a esta ley restauró facultades que ya habían sido declaradas inconstitucionales por violar derechos como la privacidad y la intimidad, y por poner en riesgo principios constitucionales como el de no autoincriminación. Así, la reforma reestableció el poder de la Guardia Nacional de realizar operaciones encubiertas, que había sido invalidado por la SCJN al resolver la Acción de Inconstitucionalidad 62/2019.
El control total de la información a partir de la Ley de Inteligencia
La pieza que completa el rompecabezas de vigilancia autoritaria es, sin dudas, la Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública. A partir de esta regulación se crea el sistema central que se encargará de interconectar todas las bases de datos existentes, tanto públicas como privadas, de todas las personas en el país, para que las distintas autoridades competentes puedan acceder a dicha información en tiempo real y sin ningún control.
Primero, existirá una base centralizada —la “Plataforma Central de Inteligencia— que interconectará todas las bases de datos posibles y permitirá acceder a la información en tiempo real (artículos 36 a 38). Para integrar esta base, será posible obtener los datos por medio de convenios con entes públicos y privados, o por requerimiento directo de la autoridad a cargo del sistema de inteligencia, el “Centro Nacional de Inteligencia” (antes Cisen), quien tendrá un acceso irrestricto y sin controles a la misma (artículos 24 y 30).
Así, además de todas las bases de datos relevantes en manos de entes públicos, la información de plataformas digitales, bancos, entidades financieras o cualquier otra de carácter privado, podrá ser integrada y consultada de forma ilimitada por las autoridades relacionadas con este nuevo “cerebro” de vigilancia estatal. Si bien, es la Secretaría de Seguridad y Protección Ciudadana quien estará formalmente encargada del sistema nacional de inteligencia, la ley también contempla el acceso de la Guardia Nacional (artículos 7 y 44), la Sedena, la Marina, la Fiscalía General de la República, la Unidad de Inteligencia Financiera, la Agencia de Transformación Digital, entre otras (artículos 22 y 39).[8]
Además, la Ley de Inteligencia incorpora —por medio del paquete legislativo— el acceso tanto al Sistema Nacional de Información en virtud de la Ley del Sistema Nacional de Seguridad Pública (artículo 27), como a la Plataforma Única de Identidad creada por la Ley en Materia de Desaparición Forzada (artículo 28). Esto significa que toda la información relacionada con el uso de la CURP biométrica obligatoria también quedará integrada en la base de datos del sistema e inteligencia.
¿Qué uso se le dará a esta información? Aunque la ley establece distintos fines, propósitos y actividades, la realidad es que no existirá ningún mecanismo de transparencia que permita revisar lo que las autoridades harán con ella. Explícitamente, la ley considera como reservada y confidencial toda la información que resulte del sistema de inteligencia (artículos 1 y 51), además de que establece castigos claros para la difusión de información relacionada, desplazando el principio de interés público e imponiendo un principio de secrecía total (artículos 51 y 55). En términos prácticos, será imposible exigir que las autoridades rindan cuentas sobre sus actividades, por lo que incluso en los casos más graves, tales como casos de persecución de periodistas o de invasión a la privacidad de las personas, ningún ciudadano podrá saber lo que hacen con su información, incluida la de carácter más sensible.
Los riesgos sobre el procesamiento descontrolado de información no terminan ahí. Por si fuera poco, la ley reconoce el rol importante que tendrán otros sistemas “inteligentes” para el procesamiento y uso de la información en las tareas de inteligencia. Así, el CNI podrá utilizar tecnologías de inteligencia artificial (IA) para cumplir sus fines y elaborar productos de inteligencia (artículo 32). Esto último ignora que ha sido ampliamente demostrado que los sistemas de IA reproducen sesgos discriminatorios, procesan la información a partir de ellos y toman decisiones que afectan a comunidades en situación de vulnerabilidad, tales como las mujeres o las personas racializadas.
La Ley de Inteligencia tiene otros problemas relacionados con la vigilancia masiva y la afectación al derecho de la privacidad, pero estos puntos sirven para mostrar el panorama por el que el sistema de vigilancia extiende sus tentáculos a prácticamente todos los ámbitos de información pública y privada que existe y puede existir sobre las actividades diarias de todas las personas. La repetición es intencional: todo lo anterior, sin controles democráticos que permitan mantener algún nivel razonable de control ciudadano sobre el accionar de las autoridades, en una total opacidad y con un respaldo político absoluto tanto en el discurso como en la práctica por parte del Gobierno Federal.
Un arma demasiado poderosa para existir en democracia
El sistema de vigilancia estatal que expliqué en los párrafos anteriores constituye una afrenta a la democracia por sí misma. No sólo es imposible que una estructura así pueda ejercerse de manera respetuosa de los derechos de las personas, sino que es un verdadero sueño para los intereses antidemocráticos. Las peores dictaduras militares que existieron en Latinoamérica soñarían con algo así, los sistemas autoritarios obsesionados con el control de la información y de la ciudadanía estarán orgullosos y lo tomarán como ejemplo a seguir, y las principales partes interesadas —sobre todo el Ejército— deben estarse saboreando el respaldo legal que acaba de materializarse en su favor por el gobierno de la presidenta Claudia Sheinbaum.
Pero si algo es definitivo, tanto en la vida como en la política, es que todo cambia. Y tal vez ese sea el error más grande que quienes ahora impulsan y celebran este sistema no han logrado dimensionar. Crear e implementar una estructura tan grande y poderosa como ésta implica establecer un arma que podrá ser usada en su contra cuando el poder haya cambiado de manos; cuando quienes están ahora respaldando a quienes han perseguido, espiado, hostigado e incluso asesinado en contextos de espionaje ilegal, sean vigilados y hostigados por un arma que no supieron advertir y que entonces esté en manos de otro gobierno o del poder militar mismo.
Vladimir Chorny
Doctor en Derecho por la Universidad de Buenos Aires (UBA), donde también es profesor de Teoría General del Derecho. Investigador de R3D: Red en Defensa de los Derechos Digitales, y miembro del Grupo de Epistemologías Feministas de SADAF (Sociedad Argentina de Análisis Filosófico).
[1] El texto obligado para entender a profundidad cómo y en qué medida este abuso fue así, es: “El Estado de la Vigilancia”, de R3D: Red en Defensa de los Derechos Digitales. Ver en particular los capítulos 3 y 4.
[2] En la práctica, muchas fiscalías abrían carpetas de investigación sobre supuestos delitos graves para “justificar” el acceso a esos datos sin una orden judicial y crear archivos para perseguir, hostigar y extorsionar periodistas, personas defensoras de derechos humanos, candidatos de oposición y figuras públicas. Las carpetas no eran continuadas luego de obtener esos datos, por lo que la instancia de solicitar la autorización judicial nunca llegaba, burlando así este requisito.
[3] Vale recordar que su antecesor, el Renaut, creado en el gobierno de Felipe Calderón, fue vulnerado, implicando la filtración y venta de datos de millones de personas.
[4] Por tratarse de un registro que ponía en riesgo los datos de millones de personas.
[5] Aun cuando el argumento detrás de estos registros es que se hace para evitar la comisión de delitos y para facilitar la identificación de personas delincuentes, la realidad es que esa postura ignora por completo la posibilidad de eludir el registro e incluso incriminar a personas que no tienen que ver con la comisión de delitos, como sucede con el SIM swapping, el enmascaramiento o el uso de teléfonos registrados a otro nombre (coacción).
[6] Esto en función de los artículos 24 y 36 de la nueva Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública, tal como explico más adelante. El artículo 103 y el trigésimo transitorio establecen que la identificación deberá hacerse por medio de la CURP biométrica y que se tendrán 120 días para contar con los lineamientos de vinculación de líneas y de otros 120 antes de la invalidación y bloqueo de todas aquellas no vinculadas. Lo que implica el riesgo enorme de dejar a poblaciones enteras sin acceso a tecnologías ni internet (como en el caso de poblaciones migrantes), en un contexto donde alrededor del 80 % de las líneas son prepagas.
[7] Ver: R3D. “Reformas de ‘Guardia Nacional’ legalizan el espionaje militar”, Red en Defensa de los Derechos Digitales, 13 de junio de 2025. Disponible en: https://r3d.mx/2025/06/13/ley-de-la-guardia-nacional-legaliza-la-vigilancia-sin-controles-por-parte-del-ejercito/. Ver también la investigación “Ejército Espía: Fuera de Control”, disponible en: https://ejercitoespia.r3d.mx/.
[8] Como expliqué más arriba, la Sedena consiguió su incorporación en el sistema de inteligencia por medio de la reforma al artículo 29 de la Ley Orgánica de la Administración Pública Federal.