Por Redacción LYP / Negocios
Hay una cifra que explica mejor que cualquier comunicado oficial por qué la Comisión Nacional Bancaria y de Valores (CNBV) decidió, este verano, que el rostro de los clientes se convirtiera en parte formal del sistema de identificación bancaria en México: el robo de cuentas mediante suplantación de identidad —lo que la industria llama Account Takeover— se disparó 311% en el país entre 2025 y 2026. La norma no nació de una moda tecnológica. Nació de una emergencia de fraude que la banca ya no podía seguir conteniendo solo con contraseñas y preguntas de seguridad.
Qué cambia exactamente
El 1 de julio, la CNBV publicó en el Diario Oficial de la Federación una resolución que modifica la Circular Única de Bancos —las Disposiciones de carácter general aplicables a las instituciones de crédito— para incorporar de manera expresa la biometría facial como mecanismo válido de identificación y autenticación de clientes, sumándose a la huella dactilar, que hasta ahora era prácticamente el único estándar regulado. La resolución entró en vigor al día siguiente, el 2 de julio.
En términos operativos, la norma exige que el rostro capturado del cliente coincida al menos en un 90% con los registros de una autoridad oficial: la credencial para votar del INE, el pasaporte mexicano expedido por la SRE, la matrícula consular o alguna identificación de otra dependencia federal con servicios de verificación biométrica. La disposición aplica para la apertura de cuentas, la contratación de créditos y operaciones de depósito o retiro de alto monto en ventanilla. De forma paralela, la Asociación de Bancos de México ya exige, desde el 1 de julio, identificación oficial vigente para depósitos y retiros en efectivo iguales o superiores a 140,000 pesos.
Un candado importante para dirección de datos y privacidad: la propia resolución establece que las bases de datos biométricos no podrán venderse, transferirse, compartirse ni intercambiarse entre bancos o con cualquier otro tipo de empresa. Por ahora, además, el marco regulatorio solo contempla huella dactilar y reconocimiento facial; la CNBV dejó abierta la puerta para incorporar otros tipos de biometría —como iris— más adelante, una vez que se definan especificaciones técnicas.
Por qué ahora: los números detrás de la urgencia
El contexto regional ayuda a entender el timing. El fraude bancario digital en América Latina creció 155% entre 2025 y 2026, impulsado sobre todo por esquemas de ingeniería social. En México, específicamente, el Account Takeover —la toma de control no autorizada de una cuenta— aumentó 311% en el mismo periodo, y las quejas por fraude bancario digital ante la Condusef subieron 11.4% durante 2026. La biometría facial no llega sola: forma parte de una estrategia más amplia contra el crimen financiero que incluye el Monto Transaccional del Usuario (MTU) y una plataforma de intercambio de información entre bancos, ambas impulsadas por la ABM en coordinación con la CNBV.
Los plazos que no se pueden pasar por alto
Para cualquier institución financiera, el calendario de cumplimiento ya está corriendo. Los bancos que ya contaban con una base de datos biométrica antes del 2 de julio tuvieron 30 días naturales para notificarlo formalmente a la CNBV. El resto de las instituciones cuenta con un plazo máximo de 90 días hábiles —que vence a finales de octubre— para adaptar sus sistemas tecnológicos y procesos internos a las nuevas disposiciones. No es un plazo simbólico: implica inversión en infraestructura de captura biométrica, integración con las bases del INE y la SRE, y protocolos de resguardo de datos que cumplan con el candado de no transferencia que fija la propia norma.
El riesgo que la norma no resuelve del todo
Aquí es donde conviene bajar el entusiasmo regulatorio y leer la letra chica. Especialistas en protección de datos ya advirtieron que concentrar la autenticación bancaria en un factor biométrico como el rostro tiene un problema de fondo: a diferencia de una contraseña, un rostro no se puede «cambiar» si es vulnerado. Y las técnicas de suplantación algorítmica basadas en inteligencia artificial —deepfakes de alta fidelidad— ya son capaces de burlar sistemas de reconocimiento facial menos robustos, lo que plantea la pregunta de si la norma llega preparada para la siguiente generación de fraude, no solo para la actual.
Por qué importa para las empresas
Para bancos, SOFOMs, SOFIPOs y fintechs, la señal regulatoria es clara aunque la obligación formal, por ahora, aplique directamente solo a instituciones de crédito: la dirección de la regulación financiera mexicana apunta hacia la identificación biométrica como estándar, incluida la identificación no presencial con prueba de vida. Cualquier institución que dependa de la Ley de Instituciones de Crédito o de la LFPIORPI para sus expedientes de identificación de clientes debería anticipar que este no será el último ajuste en la materia.
Para las áreas de tecnología y ciberseguridad, el reto no es solo de cumplimiento: es de arquitectura. Implementar biometría facial sin controles robustos de detección de vida (liveness detection) y sin un plan de respuesta ante brechas de datos biométricos —que por su naturaleza no pueden «reemplazarse» como una contraseña— traslada el riesgo de fraude de un vector a otro, no lo elimina.
La pregunta para el consejo directivo
¿Su institución está tratando esta norma como un proyecto de cumplimiento con fecha límite en octubre, o como el rediseño estructural de su arquitectura de identidad digital que en realidad exige?
La CNBV no impuso biometría facial por capricho tecnológico: lo hizo porque el robo de identidad bancaria se salió de control. Pero convertir el rostro en la nueva llave del sistema financiero mexicano trae una responsabilidad que no termina el día que se cumple con la circular: empieza ahí.
Turismo, tecnología y sustentabilidad son la pasión de Sofía Peña, experta en marketing digital y turismo inteligente. Con más de 15 años de experiencia, impulsa un turismo consciente y digitalmente innovador, ayudando a marcas a conectar con propósito y transformar la forma en que exploramos el mundo.