La implementación de Llave MX, la nueva identidad digital nacional impulsada por el gobierno federal, ha desatado un debate en redes sociales respecto a su seguridad.
En un reciente video publicado en TikTok, el especialista en ciberseguridad, Francisco Chávez, mejor conocido como Paco Web realizó pruebas con la plataforma y expresó diversas inquietudes en torno al nivel de protección que ofrece actualmente.
Paco Web, quien ha ganado notoriedad por divulgar contenidos sobre seguridad digital, compartió una prueba realizada con un video que circula en redes sociales, donde un usuario logra acceder a Llave MX utilizando un CURP acompañado de datos falsos. El experto replicó el procedimiento y documentó su experiencia.
“Me etiquetaron este video […] sobre que se pueden meter a tu Llave MX y suplantar tu CURP. Vamos a testearlo”, introdujo el especialista antes de realizar el experimento.
Según sus observaciones, el registro en la plataforma gubernamental es rápido, lo cual representa un beneficio en términos de accesibilidad, pero también un potencial riesgo.
“Les puedo decir que es de los trámites de gobierno más rápidos que he hecho. Chulada, en cinco minutos estaba listo. Pero eso también es el problema. Cualquier persona con un CURP y cualquier dato se puede meter”, señaló.
No obstante, aclaró que, en su etapa actual, Llave MX no permite realizar trámites oficiales de manera directa, por lo que el acceso a una cuenta con un CURP robado no implica, por ahora, un riesgo inmediato para los usuarios.
“Si te llegan a vulnerar tu CURP y alguien hace la cuenta en Llave, va, no hace nada, no te puede afectar”, indicó. Asimismo, explicó que la plataforma permite identificar si un CURP ya está vinculado a un correo y ofrece mecanismos para su recuperación.
El especialista subrayó que la preocupación principal radica en el futuro de la plataforma, especialmente cuando se implemente su versión verificada, que incluirá datos biométricos y permitirá realizar trámites gubernamentales completos de forma digital.
“El problema es cuando tengamos realmente nuestra Llave MX verificada, validada, con biométricos”, advirtió.
Según sus palabras, en ese momento la plataforma se convertirá en una llave real “que abre la puerta a otros trámites”, y es ahí donde los riesgos se volverán críticos. Comparó la validación actual de Llave MX con plataformas tecnológicas básicas y criticó que, hasta el momento, la verificación se base únicamente en un correo electrónico.
“Esto (Llave MX) y un WhatsApp, hackeo más rápido esto. Solamente con un correo electrónico que te lo hayas robado. Con eso puedes hackearte la Llave”, afirmó.
En su análisis, Paco Web remarcó que una plataforma destinada a gestionar trámites oficiales de gran importancia debe contar con múltiples capas de seguridad, al nivel de grandes empresas tecnológicas.
“Google tiene la verificación de SMS, autenticación por correo, por mensaje […], una aplicación de autenticador, una llave física, un PIN de Passkey. Tiene seis capas para asegurarte de que tu cuenta no sea vulnerada”, explicó.
El creador de contenido urgió a las autoridades a fortalecer la seguridad antes de que Llave MX entre en funcionamiento pleno, con capacidades como la emisión de pasaportes o acceso a programas sociales, advirtiendo sobre las consecuencias de una posible suplantación de identidad masiva.
“Esto es más importante que una cuenta bancaria, porque en tu cuenta bancaria vas a tener cinco pesos. Con esto sacas un crédito a tu nombre”, advirtió.
Además, hizo un llamado a la ciudadanía a no caer en el pánico inmediato, pero sí a mantenerse informada y exigir que la plataforma tenga los candados adecuados antes de su implementación completa.
“Mientras más cómodos somos, más vulnerables nos volvemos”, subrayó.
El especialista puntualizó que el verdadero riesgo no está en que alguien cree una cuenta con un CURP ajeno, sino en lo que podría pasar más adelante, cuando la plataforma esté plenamente habilitada para realizar trámites de alto impacto. En ese escenario, si un correo electrónico —único método de verificación hasta ahora— es vulnerado, el daño podría ser considerable.
“¿Sabes qué es bien cómodo? Le das un clic y listo. Sí. ¿Sabes qué joda te paran con eso? Por ahorrarte tres clics”, advirtió, al referirse a lo fácil que puede resultar hoy registrarse en la plataforma sin mecanismos robustos de validación.
Añadió que, mientras no existan filtros más estrictos como autenticaciones múltiples, notificaciones diferidas o medidas similares a las empleadas por instituciones bancarias, los usuarios podrían quedar expuestos a accesos no autorizados y usos indebidos de su identidad digital.
Para Paco Web, lo ideal sería que el sistema incorpore protocolos que den tiempo al usuario de reaccionar ante posibles intentos de vulneración, tal como ocurre con ciertas operaciones financieras que requieren espera obligatoria antes de completarse.
“Porque para estas cosas yo sigo formándome la fila cuatro horas y perdiendo medio día, en lugar de estar esperando a que me vulneran con un clic”, manifestó.
@pacoweb2025 #pacoweb #vamosatestearlo #curp ♬ sonido original – pacoweb
Finalmente reforzó su mensaje en que la seguridad digital debe priorizarse por encima de la comodidad, especialmente cuando se trata de plataformas que tendrán un impacto directo en la vida pública y privada de los ciudadanos.
Llave MX fue presentada oficialmente en febrero de 2025 como una solución digital para facilitar trámites gubernamentales en México. La plataforma ofrecerá dos niveles de autenticación: básico y verificado, este último se plantea que sea con validación biométrica y firma electrónica. Aunque aún no tiene validez como identificación oficial, su desarrollo continúa como parte de la estrategia nacional de digitalización.
