nexos > El Juego de la Nueva Suprema Corte > Día a Día

Vigilancia legalizada: el nuevo rostro del espionaje

y
octubre 6, 2025

El 16 de julio de 2025, la presidenta Claudia Sheinbaum publicó 11 decretos con reformas legales de gran calado. Entre ellos, seis establecen un sistema de vigilancia masiva mediante la recolección, almacenamiento y uso indiscriminado de datos personales y sensibles de la población mexicana.

Desde Artículo 19 promovimos un juicio de amparo al considerar que estas reformas violan los derechos a la privacidad, protección de datos personales y libertad de expresión. El pasado 22 de septiembre, un juez federal concedió la suspensión definitiva contra las normas reclamadas.

En este texto consideramos pertinente realizar un bosquejo contextual y refrescar la memoria sobre lo que ha sucedido en México en asuntos relacionados con vigilancia y espionaje gubernamental. Segundo, hacer un análisis de las disposiciones legales que implementan un verdadero sistema de vigilancia masiva en México. Por último, una breve reseña del juicio de amparo promovido por nuestra organización y los retos que plantea a futuro.

El espionaje es político

En México, el espionaje y la vigilancia ilegal no son novedad, son prácticas recurrentes. Además, no podemos negar que el trabajo de inteligencia y de espionaje son esencialmente políticos.

En México tenemos evidencia contundente en ese sentido. Por ejemplo, Artículo 19 cuenta con bases de datos donadas por la Comisión de la Verdad de Guerrero, que a la postre constituyeron la plataforma “Archivos de la Represión”. Se trata de 300 mil documentos de la entonces Dirección Federal de Seguridad y la Dirección de Investigaciones Políticas y Sociales, ambas de la Secretaría de Gobernación, producidos entre los años 60 y 90, que dan cuenta del seguimiento a disidentes políticos. Muchos de esos disidentes participaron en luchas armadas. La vigilancia selectiva fue el preámbulo de las atrocidades cometidas contra ellas y ellos: desparición forzada, tortura y ejecución extrajudicial.

Vino la transición a la democracia y la inteligencia se mantuvo con la lógica autoritaria del PRI-Gobierno. Desde 2017, organizaciones como Citizen Lab, R3D, Social Tic y Artículo 19 han documentado el uso del software Pegasus para espiar a periodistas, defensores de derechos humanos y opositores políticos durante los sexenios de Enrique Peña Nieto y Andrés Manuel López Obrador.

El caso más sonado fue el de Carmen Aristegui, quien enfrentó ataques digitales y logró el avance de una causa penal que acabó en absolución. El juez, sin embargo, determinó que el espionaje contra la periodista se acreditó y exigió que la fiscalía hiciera una investigación seria. Siete años después de iniciado el proceso nos quedamos como al principio: un espionaje sin espías.

Durante los sexenios de Enrique Peña, al menos 25 personas fueron objetivo del malware, incluyendo representantes de organismos internacionales. Muchos de los ataques coincidieron con momentos clave para la democracia: el caso Ayotzinapa, el impulso del impuesto a los refrescos y la creación del Sistema Anticorrupción. Con AMLO, se evidenció que —al menos— dos periodistas, tres activistas y un opositor político fueron espiados con el mismo spyware, esta vez presumiblemente por el Ejército.

No sobra decir que en la investigación periodística internacional “The Pegasus Project” se dio a conocer una lista de 50 mil potenciales objetivos en diferentes países. Quince mil de ellos eran mexicanos, destacando el círculo cercano de López Obrador en su momento como opositor. Recientemente, el juicio de WhatsApp vs. NSO Group (desarrolladora del software), reveló que 450 infecciones fueron cometidas en México durante mayo de 2019. El corolario de esta trama fueron las recientes revelaciones sobre el presunto pago de sobornos a Peña Nieto por parte de las empresas distribuidoras de Pegasus en México.

Pero el espionaje no se ha limitado a Pegasus. La FGR ha usado herramientas como Geomatrix, que permite geolocalizar dispositivos en tiempo real. También se documentó el uso de HIWIRE por parte del Ejército para monitorear redes sociales y operar granjas de bots, así como la instalación de antenas falsas (IMSI catchers) para interceptar comunicaciones.

Peor aún, el New York Times destapó la manera en que la Fiscalía de la Ciudad de México fabricó carpetas de investigación con delitos graves como pretexto para obtener datos de geolocalización y telefonía de personas opositoras sin relación alguna con esos delitos. Este modus operandi ya había sido denunciado por Ana Lorena Delgadillo (ex directora de la Fundación para la Justicia), Marcela Turati (periodista) y Mercedes Doretti (cofundadora del Equipo Argentino de Antropología Forense), quienes fueron espiadas mientras investigaban fosas clandestinas en San Fernando.

Estos casos muestran que el espionaje en México no es excepcional ni accidental. Tampoco se usa ni sirve para disminuir la criminalidad. Es una práctica sistemática con fines políticos, sin controles efectivos, sin sanciones, y ahora con un nuevo riesgo: quedar legalmente institucionalizada y masificada.

  1. Un paquete legislativo peligroso

Entre los decretos publicados, que constituyen un verdadero sistema de vigilancia masiva, destacan:

  • Ley General del Sistema Nacional de Seguridad Pública.
  • Ley del Sistema Nacional de Investigación e Inteligencia en Materia de Seguridad Pública (Ley de Inteligencia).
  • Ley de la Guardia Nacional.
  • Reforma a la Ley General de Población.
  • Reforma a la Ley General en Materia de Desaparición Forzada.
  • Ley en Materia de Telecomunicaciones y Radiodifusión.

En conjunto, crean un andamiaje legal que permite a las autoridades civiles y militares acceder y cruzar millones de datos personales, incluyendo biométricos, sin supervisión independiente ni garantías judiciales efectivas para su protección. La interconexión entre bases de datos estatales y privadas es obligatoria. Todo bajo el argumento de atender la crisis de desapariciones, y en general, de seguridad.

CURP biométrica: tu identidad al servicio del Estado

 

Uno de los pilares del nuevo sistema es la CURP biométrica. La nueva Plataforma Única de Identidad, según la Ley General de Población, integrará datos biométricos y será de uso obligatorio en todo el territorio nacional.[1] Dichos datos se integrarán en la Plataforma Única de Identidad (PUI).

Pese a que la presidenta aseguró que su uso sería voluntario, la ley dice lo contrario.[2] Además, la PUI estará interconectada con bases de datos de bancos, empresas de telecomunicaciones, hospitales, escuelas y hasta servicios religiosos.[3]

Según la Ley en Materia de Desapariciones, todas estas entidades deberán permitir el acceso inmediato a su información a la Guardia Nacional, las fiscalías y las policías.[4] Aunque se justifique como una medida para localizar personas desaparecidas, objetivo que absolutamente nadie debate en un país con 133 mil personas desaparecidas; los antecedentes muestran que este tipo de herramientas pueden ser fácilmente desviadas para fines ilegítimos. Máxime que todas esas herramientas carecen de las mínimas salvaguardas para evitar abusos de la autoridad.

Históricamente, los gobiernos han invocado razones de seguridad nacional y de combate al terrorismo para invadir de manera arbitaria e ilegal la vida privada de las personas. Lo tramposo de esta reforma es que pretende poner la discusión en un juego de “suma cero”: o invadimos la privacidad sin controles o frenamos la inseguridad y las desapariciones en México.

Plataforma Central de Inteligencia: el Big Brother mexicano

El otro componente es la Plataforma Central de Inteligencia (PCI), creada por la Ley de Inteligencia y operada por el Centro Nacional de Inteligencia (CNI). Esta plataforma podrá conectarse en tiempo real con cualquier base de datos, pública o privada, para generar «productos de inteligencia».

Según el artículo 24 de dicha ley, las fuentes de información incluyen:

  • Registros de datos vehiculares, bancarios, fiscales, de salud, telecomunicaciones.
  • Bases de datos biométricas, registros de armas, catastros.
  • Información en poder de particulares que pueda usarse para investigación penal.

Lo más preocupante es que la PCI estará conectada en tiempo real y a disposición irrestricta de la CNI para su consulta.[5] Además, lo más preocupante, es que la PUI y la PCI estarán interconectadas.[6] En otras palabras, la información personal de millones de mexicanos podrá ser consultada y analizada por autoridades civiles y militares, sin necesidad de orden judicial.

El amparo como última barrera contra la vulneración de la privacidad

La tecnología debe estar al servicio de las personas, no del poder. Cuando nuestros datos se convierten en mercancía, o en herramienta de control, estamos en riesgo.

Frente a este escenario, Artículo 19 —al igual que otras ONG— presentó un juicio de amparo señalando como autoridades responsables al Congreso, la Presidencia, la SSPC, el Registro Nacional de Población y el CNI. Lo planteamos como un todo, entrecruzando diversas disposiciones de las diferentes leyes. Ese “todo” debe analizarse – así lo propusimos al juez- como un sistema de vigilancia masiva e indiscriminada sin controles judiciales.

El Juzgado Séptimo de Distrito en Materia Administrativa en la CDMX concedió la suspensión definitiva. Esto impide que las normas impugnadas sean aplicadas en perjuicio de la asociación civil.

Este caso muestra la importancia del juicio de amparo como herramienta para defender los derechos fundamentales en un entorno cada vez más autoritario. En efecto, cobra especial relevancia justo cuando el Ejecutivo federal -después de acabar con la independencia judicial- propone reformas para limitar la suspensión de normas y restringir el interés legítimo.

El espionaje corre el riesgo de legalizarse, expandirse y normalizarse. Apelar, como lo hace el oficialismo, a una “moral política” que autocontendrá a las autoridades en el mal uso de estos sistemas, es simplemente ingenuo y contrafactual. Lo más grave es que se diseñe sin controles, sin transparencia, sin rendición de cuentas y sin garantías judiciales. Y que se implemente en un país con un largo historial de abusos, impunidad y corrupción.

Este juicio de amparo apenas es el primer paso. Vendrán nuevas batallas legales y, posiblemente, decisiones de la Suprema Corte resultante de la reforma judicial. En ese contexto, es necesario abrir un debate público serio sobre los límites del poder estatal en el manejo de información personal.

La seguridad no puede construirse sacrificando la libertad. Mucho menos con leyes que otorgan poderes absolutos a quienes ya han demostrado que no saben, o no quieren, rendir cuentas. En el mundo existe contundente evidencia del fracaso de las medidas de excepción aplicadas por diversos países, ya sea bajo el supuesto combate al terrorismo o al crimen organizado. Basta observar que ambos fenómenos gozan de cabal salud y se multiplican sin cesar.

Los objetivos de estas medidas restrictivas de derechos nunca son cumplidos, menos en entornos cada vez más autoritarios. Llama la atención que los grandes casos de corrupción y violaciones a derechos humanos han sido generalmente destapados por investigaciones periodísticas que no requirieron sofisticados mecanismos de vigilancia. Tal vez revertir la impunidad tenga que ver más con la voluntad de romper viejos y nuevos pactos político-criminales y menos con soluciones tecnológicas.

Leopoldo Maldonado y Luis Knapp Moreno

Artículo 19 México y Centroamérica.

[1] Esta plataforma, conforme a los artículos 4, fracción I Ter y 12 Bis de la Ley en Materia de Desapariciones, es definida, respectivamente, como “la herramienta para la consulta, validación y gestión de las Claves Únicas de Registro de Población”; además de que “será la fuente primaria de consulta permanente y en tiempo real y se interconectará con bases de datos o sistemas de información”.

[2] Artículo 91 Bis de la Ley General de Población

[3] Artículo 12 Bis de la Ley en Materia de Desapariciones

[4] Artículo 12 Quinquies de la misma Ley en Materia de Desapariciones, se dispone que “toda autoridad y particular de cualquier naturaleza que tenga a su cargo datos biométricos o cualquier otro dato identificativo de personas”, deberá permitir a las Fiscalías, a la Guardia Nacional (GN), a la Secretaría de Seguridad y Protección Ciudadana (SSPC) y a las policías en las entidades federativas, la consulta inmediata de la información sobre personas desaparecidas o no localizadas contenida en sus registros, bases de datos o sistemas de información, exclusivamente para su búsqueda, localización, identificación en coordinación con la investigación.

[5] En este sentido, en el artículo 28 de la Ley de Inteligencia se estableció claramente que el Centro Nacional de Inteligencia: “…podrá acceder irrestricta y directamente o a través de la Plataforma (de inteligencia), a toda la información que integre, almacene, genere, recopile, sistematice o procese la Secretaría de Gobernación mediante la Plataforma Única de Identidad, para los propósitos de desarrollar tareas de inteligencia en seguridad pública y propiciar la toma de decisiones en esa materia por las autoridades competentes.”.

[6] Ibid.

Escribe tu correo para recibir el boletín con nuestras publicaciones destacadas.

Publicado en: Día a Día