La soberanía nacional suele medirse por el no intervencionismo, la solidez de las fronteras o la estabilidad de la moneda, conceptos que la presidenta Claudia Sheinbaum tiene claros. Sin embargo, en plena era de la hiperconectividad, México enfrenta un flanco vulnerable que pocos están vigilando: la soberanía digital de nuestros datos más sensibles.
Recientemente, una investigación del periodista Ignacio Gómez Villaseñor puso al descubierto un hecho que no es un incidente aislado, sino el «paciente cero» de una epidemia de negligencia técnica que amenaza con colapsar la confianza en el IMSS.
Un descuido de dimensiones épicas
Para entender lo que Villaseñor encontró, hay que dejar de lado la imagen del hacker con capucha. Lo que ocurrió en el sistema del Banco de Sangre del IMSS fue una falla estructural conocida como IDOR (Insecure Direct Object Reference). En términos llanos, es el equivalente a dejar la bóveda de un banco cerrada pero con la combinación escrita en un post-it pegado en la puerta.
Cualquier persona con conocimientos básicos, podía acceder a los expedientes del sistema digital del banco de sangre del IMSS de 3.4 millones de mexicanos, tan solo con modificar un número en la dirección URL. Sin contraseñas ni virus de por medio, el sistema entregaba -de forma casi infantil: nombres, domicilios, teléfonos, grupo sanguíneo y hasta el historial de parejas sexuales de los donadores de los últimos cinco años. Villaseñor lo califica como una «mina de oro para la extorsión». Hoy, esa información ya circula en el mercado negro por unos cuantos pesos.
El negocio redondo de los datos
Este descuido no es obra de la casualidad, sino la consecuencia de haber hipotecado la soberanía tecnológica del Estado. Durante la última década, el IMSS se ha transformado en un gigantesco “administrador de contratos”. Sistemas críticos, como la recaudación y el pago de incapacidades, han sido entregados a manos privadas.
Esta dependencia técnica se conoce como Vendor Lock-In: una situación donde la institución queda tan atada a un proveedor que cambiarlo resulta prohibitivo o casi imposible. Aunque hay que reconocerlo, se están haciendo esfuerzos para que el Expediente Clínico Electrónico deje de depender de terceros. Sin embargo, pese a los esfuerzos que se están realizando, el daño estructural está presente desde administraciones pasadas.
El nudo gordiano de esta crisis se aprieta con el lanzamiento, en abril de 2026, del Servicio Universal de Salud. La presión política por acelerar la interoperabilidad entre el IMSS, ISSSTE, IMSS-Bienestar y Pemex corre el riesgo de empujar una integración digital “a martillazos”.
La intención es que cualquier médico del país pueda ver el historial de cualquier paciente. Pero aquí está la trampa, al no poseer la rectoría del código fuente, el Estado debe pagar «peajes» digitales a proveedores privados para que sus sistemas, con estándares de seguridad desiguales, se hablen entre sí. Bajo esa lógica, si el Banco de Sangre fue vulnerado con una técnica de primaria, ¿qué nos garantiza la integridad de la nueva credencial digital única? Estamos construyendo un edificio de cristal en una zona sísmica de ciberdelincuencia.
La «Caja de Pandora» está abierta y de ella ha salido una peligrosa pérdida de confianza en el contrato social digital. No obstante, al fondo siempre queda la esperanza de una rectificación de Estado. La solución no es renunciar a la tecnología, sino recuperar la rectoría sobre ella.
Es urgente realizar una Auditoría Forense Nacional a todos los contratos de Tecnologías de la Información del sector salud para identificar dónde termina el servicio y dónde empieza el secuestro institucional. El Estado debe recuperar el control sobre la arquitectura, los datos, el código fuente y las reglas de negocio. No podemos seguir siendo inquilinos de nuestra propia información.
Si la soberanía nacional es el cuerpo de la transformación, la soberanía tecnológica debe ser su sistema nervioso central. Antes de presumir un sistema universal, México debe demostrar que puede proteger los datos más íntimos de sus pacientes. Recuperar nuestra soberanía digital no es un lujo técnico; es la única forma de evitar que la próxima crisis sanitaria se convierta en una tragedia informática nacional.