Biometría en el mercado negro: el SAT y el precio de nuestra identidad
Por Osvaldo Hernández Olivera
Abogado en Derecho Informático | Opinión Legal sobre Tecnología y Futuro.
En el México de hoy, parece que sale más barato comprar tu identidad que pagar una suscripción de plataformas de entretenimiento. Lo ocurrido en enero de 2026 con el presunto hackeo al Servicio de Administración Tributaria no es una «falla técnica» más para archivar en la burocracia; es, sencillamente, el aviso de que nuestra biometría —eso que nos hace únicos e irrepetibles— circula de oferta en los callejones más oscuros de la red por la ridícula cantidad de 300 dólares.
La noticia, que se esparce como pólvora en portales de ciberseguridad, sugiere que la vulneración es real: el responsable, un usuario que se denomina como “Straightonumberone” , no se anda con rodeos. Mientras desde las oficinas gubernamentales nos recitan el mismo guion de siempre sobre «sistemas robustos» y «seguridad garantizada», en los foros de hacking circulan capturas que nos dejan fríos: expedientes con huellas, iris, firmas y RFC expuestos al mejor postor. ¿La respuesta oficial? Negarlo todo. Pero como sabemos bien: cuando el río suena, es porque la base de datos ya se desbordó.
El pecado de la «identidad eterna»
Hay algo que las autoridades parecen no procesar y es la naturaleza de lo que nos han arrebatado. Si te roban la tarjeta, llamas al banco, la cancelas y listo. Pero, ¿cómo cancelas tu iris? ¿Cómo das de baja tus huellas dactilares? Ahí está la verdadera tragedia. El Estado nos obligó a entregar lo más íntimo bajo la promesa de modernidad y ahora esa información es inmutable; una vez que tus biométricos caen en manos de un delincuente en un foro clandestino, la vulnerabilidad es para siempre. No hay «reset» posible. Tu firma digital, que legalmente vale lo mismo que tu firma con puño y letra, está ahora en una tómbola digital donde el premio mayor es el robo de tu identidad fiscal.
La soberbia institucional: el peor enemigo.
Resulta casi insultante que, frente a las denuncias de periodistas como Ignacio Gómez Villaseñor y las evidencias en medios, la respuesta sea el silencio o el rechazo tajante. En ciberseguridad, la soberbia es el peor enemigo; lanzar sistemas masivos para recaudar impuestos sin una auditoría externa que realmente funcione es, por decir lo menos, una irresponsabilidad criminal. Para los estudiantes y profesionales que nos leen, este caso es el ejemplo perfecto del fracaso del constitucionalismo digital: ¿de qué sirven los derechos si el custodio de tus datos deja la puerta abierta y luego finge que no pasó nada?
Exigimos respuestas, no comunicados.
Debemos dejar en claro que la ciberseguridad en el sector público tiene que dejar de ser el patito feo del presupuesto para convertirse en una prioridad de seguridad nacional; necesitamos leyes con colmillos que castiguen la negligencia institucional y protocolos que, por lo menos, nos avisen cuando nuestra vida digital ha sido puesta en subasta. Este presunto hackeo nos recuerda una amarga verdad: en la carrera por la recaudación, el Estado se olvidó de que detrás de cada RFC hay una persona. Tu identidad no tiene repuesto, y hoy, lamentablemente, parece que en el SAT tampoco tiene dueño.
