Fan ID, iniciativa de la Federación Mexicana de Fútbol (Femexfut) para establecer un registro de aficionados, se lanzó inicialmente con el torneo de Clausura 2023, que comenzó el 6 de enero de 2023.
Desde entonces, su implementación ha avanzado y se ha convertido en un aspecto clave para mejorar la seguridad en los estadios de la Liga MX. Actualmente, la Femexfut continúa promoviendo el registro del Fan ID para acceder a los estadios, con la expectativa de hacerlo un requisito obligatorio en todos los eventos de la Liga MX en el futuro cercano.
Sin embargo, desde septiembre de 2023, el Fan ID se ha convertido en requisito obligatorio para el ingreso a los estadios de la Liga MX. Esta medida ha sido implementada para fortalecer la seguridad y mejorar la experiencia de los asistentes.
A pesar de su obligatoriedad, ha generado detractores: desde los propios aficionados que se quejan por su mal funcionamiento y preocupaciones sobre la privacidad, hasta organizaciones de derechos digitales que critican el manejo y la protección de datos personales.
Los equipos de la Liga MX promovieron, desde mediados de ese año, el registro para tener acceso a los estadios. “Solo tienes que hacerlo una vez. Es fácil y sencillo”, asegura Omar Govea, de Rayados, en un video en redes sociales.
La aplicación del Fan ID surgió tras los desafortunados actos de violencia entre las barras de Querétaro y Atlas el 5 de marzo de 2022 en el estadio La Corregidora.
Índice de temas
¿Qué es y cómo funciona?
Fan ID es un código único y personal que sirve como registro para aficionados al fútbol mexicano. Para obtenerlo se requiere de una identificación oficial vigente, un número celular y una fotografía (selfie).
El proceso se lleva a cabo aproximadamente en tres minutos. Al final se genera un código QR, único y personal, al que se puede acceder al iniciar sesión en el sitio web desde cualquier dispositivo móvil.
En el caso de menores de edad, advierte la página: su registro estuvo bajo revisión del extinto Instituto Nacional de Transparencia y Acceso a la Información (INAI).
Al momento de ingresar a un estadio para ver un partido de fútbol mexicano, debe mostrarse el Fan ID. Esto es independiente de la adquisición de un boleto. Ambos son requisitos.
¿Cómo se consigue el Fan ID? Paso a paso
- Se debe ingresar al portal oficial (por ejemplo, fanliga.mx o el enlace del club) y crear una cuenta con correo y número de teléfono.
- Verificar la identidad del usuario: Hay que capturar una foto de la identificación oficial (anverso y reverso) y toma una selfie con prueba de vida (sin gorra ni lentes, con buena luz).
- Completar los datos personales y aceptar el aviso de privacidad de la FMF/operador del sistema.
- Esperar la validación automática (≈ 3 minutos) y genera el código QR único (el propio Fan ID).
- Guardar el QR en el celular (galería o wallet) del usuario para tenerlo a mano el día del partido.
- En el acceso al estadio, presentar el Fan ID (QR) junto con la identificación oficial y el boleto.
Menores de edad: el registro lo realiza el padre/madre o tutor, cargando su propia identificación y autorizando el trámite del menor. El proceso estuvo sujeto a revisión del INAI. También se requiere llevar las identificaciones correspondientes al estadio.
¿Cuáles son los beneficios de usar Fan ID?
Su principal objetivo y ventaja es maximizar la seguridad en los estadios para saber quiénes ingresan a los mismos.
Al hacer el trámite, se especifica que los datos personales podrán ser transferidos a autoridades de Seguridad Pública y Protección Civil, fiscalías y organismos judiciales competentes.
Esto coadyuva en la investigación y sanción de conductas presuntamente delictivas y permite cumplir con las disposiciones legales aplicables a requerimientos de información en el marco de procedimientos de procuración e impartición de justicia.
Garantizar la seguridad también ayuda a lograr lo que la Femexfut busca para cada partido: entornos sanos y familiares dentro de los recintos deportivos.
La digitalización de los aficionados a través del Fan ID abre oportunidades para nuevas experiencias en los estadios.
En julio de 2025 se anunció que el sistema vigente del Fan ID sería reemplazado por una versión más moderna a partir de 2026. Este nuevo modelo contempla la integración de billeteras digitales (Wallets) y una infraestructura de conectividad en todos los estadios, para permitir un acceso más eficiente y alineado con estándares internacionales, aunque solo tres recintos (Banorte, Akron y BBVA) ya cuentan con internet estable para su implementación inmediata.
Beneficios vs. riesgos del Fan ID
| Criterio | Beneficios (seguridad y control) | Riesgos (privacidad y derechos digitales) |
|---|---|---|
| Seguridad en estadios | Permite identificar a cada aficionado que ingresa al estadio y generar un registro único. Ayuda a prevenir la entrada de personas sancionadas o violentas. | Si el escaneo no se aplica al 100 % (como han reportado ESPN y Proceso), aficionados vetados podrían ingresar sin ser detectados. |
| Investigación de incidentes | Facilita la entrega de información a autoridades de seguridad y justicia para sancionar conductas violentas o delictivas. | Centraliza una gran base de datos biométricos, lo que aumenta el riesgo en caso de filtración o mal manejo. |
| Ambiente familiar | La Femexfut lo presenta como una herramienta para promover un entorno seguro y “sano” en los partidos. | Críticos como R3D advierten que el sistema puede ser desproporcionado y que existen mecanismos menos invasivos para mejorar la seguridad. |
| Tecnología KYC/biométrica | Incode asegura que el proceso de verificación se completa en minutos y con altos estándares de precisión (ISO/IEC 30107-3, evaluado por iBeta). | El INAI multó a la Femexfut por deficiencias en medidas de seguridad y transparencia en el tratamiento de datos personales. |
| Facilidad de uso | El registro solo se realiza una vez, es gratuito y genera un código QR permanente para los accesos. | Requiere entregar datos sensibles (identificación oficial, selfie biométrica), lo que genera preocupación por el almacenamiento y conservación a largo plazo. |
¿Cuál es el valor de los datos para fidelización y marketing deportivo?
El Fan ID crea un identificador verificado y persistente (first-party data) que, con consentimiento informado, permite unificar la identidad del aficionado entre taquilla, app, e-commerce, puntos de venta (POS, por sus siglas en inglés) del estadio, el CRM y la gestión de datos del cliente (CDP, por sus siglas en inglés).
Para el área IT, esto habilita el proceso técnico de unificar fragmentos de información dispersos sobre un usuario o entidad, provenientes de múltiples fuentes y dispositivos, conocido como Identity Stitching y la orquestación de journeys: recordatorios prepartido, disparadores de marketing digital, llamados triggers, en tiempo real al ingresar (ofertas de alimentos/merchandising, upgrades de asiento), comunicaciones postpartido con resúmenes y preventas, así como algunos modelos de propensión o porcentaje de abandono para recuperar asistentes.
¿Cuáles son las métricas claves? La tasa de registros vinculados a compras, adopción de la app, attach rate de add-ons, valor total de vida del cliente (LTV, por sus siglas en inglés) por segmento y retorno de inversión, ROI, por campaña/patrocinador.
Para marketing, el Fan ID permite segmentación fina (familias, abonados, visitantes ocasionales, alto gasto), programas de lealtad por niveles, activaciones con patrocinadores basadas en comportamiento, ofertas dinámicas según ocupación y clima de demanda, marketing postpartido y métricas para determinar el nivel de lealtad de los clientes, como el NPS contextual, para mejorar la experiencia.
En un entorno libre de cookies de terceros, cookieless, los clubes construyen audiencia propia activable en sus canales y en medios pagados (con matching seguro). Todo uso debe quedar limitado a finalidades específicas, con opt-ins claros, posibilidad de baja y preferencia por analítica agregada/anonimizada para campañas y reporting.
¿Quién está detrás del Fan ID y qué tecnología usa?
El sistema Fan ID fue desarrollado por Incode Technologies, una empresa unicornio mexicana con una plataforma de autenticación y verificación de identidad de próxima generación para empresas globales. En noviembre de 2022, se anunció un acuerdo con la Liga MX para implementar esta solución.
Según la compañía, su tecnología cifrada totalmente automatizada se basa en inteligencia artificial y ofrece altos niveles de confianza, seguridad y privacidad de datos.
Incode se comprometió a dar alcance a más de cinco millones de fans, el procesamiento de 50,000 personas por juego, la autenticación de un aficionado en menos de cinco segundos, así como la implementación para 35 equipos en más de 30 estadios y en más de 400 juegos al año.
Un sistema biométrico almacena los datos del Fan ID. Incode es responsable de implementar los controles de seguridad necesarios para proteger la confidencialidad, integridad y disponibilidad de dicha información.
Su flujo combina la captura de una identificación oficial, pruebas de vida (detección de liveness) mediante la selfie y la generación de un código QR único para el acceso al estadio.
A nivel técnico, Incode publicitó el uso de detección pasiva de vida y Presentation Attack Detection (PAD) conforme a la metodología ISO/IEC 30107-3, con certificaciones de laboratorios independientes como iBeta (acreditado por NIST/NVLAP).
En la práctica, esto busca reducir fraudes por suplantación (fotos, máscaras, pantallas) y acelerar la “fricción” del registro a minutos, manteniendo un identificador persistente (QR) para el control de acceso.
Pese a ese andamiaje tecnológico, la implementación se hizo entre controversias por el tratamiento de datos personales y biométricos. En su momento, el INAI emitió resoluciones y multas contra la Femexfut por deficiencias en medidas de seguridad y transparencia en el programa.
Así mismo, organizaciones como La Red en Defensa de los Derechos Digitales, R3D señaló opacidad en el funcionamiento técnico, los análisis de impacto y el manejo de biométricos.
Diversos medios locales documentaron riesgos operativos y aplicación desigual en accesos (por congestión o falta de infraestructura), además de señalar la gran magnitud de la base de datos de aficionados ya enrolados. En conjunto, estos elementos mantienen vivo el debate entre seguridad en estadios y protección de la privacidad.
Requisitos para conseguir el Fan ID
En el caso de los aficionados mayores de 18 años, la información que se requiere es: nombre completo, correo electrónico, teléfono de contacto, fecha de nacimiento, fotografía, imagen de una identificación oficial y un código de identificación emitido por terceros con capacidad técnica para la verificación de identidades.
¿Qué pasa si un aficionado no tiene Fan ID?
De acuerdo con la Femexfut, el periodo de “sensibilización” terminó en agosto de 2023. Desde septiembre de ese año, el Fan ID se volvió requisito obligatorio para ingresar a cualquier estadio de la Liga MX. Todos los aficionados deben presentar su Fan ID junto con su boleto para poder entrar a los partidos.
La medida se implementó para garantizar la seguridad en los estadios y mejorar la experiencia del aficionado. Quienes no cuenten con el Fan ID no podrán acceder a los estadios, aunque tengan un boleto válido.
En cuanto a sanciones, no hay multas económicas directas para el aficionado, pero el acceso es automáticamente denegado y, en casos de reincidencia, el sistema puede marcar al usuario como no autorizado.
La única excepción hasta ahora se da con los menores de edad, cuyo registro depende de la autorización de sus tutores. Eso estuvo bajo revisión del INAI, no se sabe si la ATDT tiene alguna opinión al respecto.
Seguridad de datos en Fan ID
La página de Fan ID indicaba que, a partir de 2024, los datos personales de las personas registradas serían conservados durante un período de tres años, contados a partir de su registro.
Este cambio se realizó para alinearse con las mejores prácticas internacionales de privacidad de datos y cumplir con las regulaciones locales de protección de datos. En teoría, al finalizar este período, los datos serían eliminados de manera segura y permanente, a menos que existieran razones legales específicas para retenerlos por un tiempo adicional.
La excepción se aplica a las personas que hayan violado la “Normativa de Estadio Seguro” o cualquier otro código o reglamento penal y/o administrativo. En estos casos, sus datos de identificación serán conservados por la Femexfut hasta por cinco años a partir de la fecha de la infracción.
Una vez transcurridos los plazos de conservación antes indicados, se eliminarán de forma segura y permanente los datos personales.
Durante 2024, la Liga MX y la Femexfut reportaron que el sistema Fan ID alcanzó un registro de aproximadamente 3.7 millones de aficionados con su identificación digital, lo que representa un avance significativo en su cobertura.
Sin embargo, según reporta ESPN, en marzo de 2025, en algunos estadios, el proceso de validación del código QR no se aplicaba al 100%, Aunque la mayoría de los recintos cumple con el protocolo, en otros la exigencia disminuye cuando se forman aglomeraciones en los accesos, lo que pone en evidencia retos operativos relacionados con infraestructura y fluidez en la entrada.
En consecuencia, cuando los accesos a los estadios se ven saturados, la Liga MX optó por flexibilizar la medida: en lugar de escanear a todos los asistentes, se aplica un esquema en el que únicamente se revisa aleatoriamente a 60% de los aficionados. Esto implica que una persona previamente vetada por hechos violentos (objetivo cuando se lanzó la iniciativa) podría ingresar al recinto si no le corresponde ser escaneada en ese control parcial.
Impacto en la gestión de datos personales y cumplimiento
La implementación del Fan ID coloca a los clubes y a la propia Femexfut frente a un escenario donde el cumplimiento normativo es tan importante como la operación tecnológica.
El uso de datos biométricos convierte este sistema en una categoría de datos sensibles, protegidos de forma especial bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Para los responsables IT, esto implica diseñar procesos robustos de consentimiento informado, almacenamiento seguro, auditorías periódicas y mecanismos de borrado oportuno de información una vez cumplido el ciclo de vida.
El riesgo legal no es menor. Como se ha mencionado, hace tiempo el extinto INAI impuso multas a la Femexfut por deficiencias en la implementación de medidas de seguridad y transparencia, lo que subraya la necesidad de contar con programas de cumplimiento integrados.
Esto incluye la definición de roles claros en el tratamiento de datos (responsable vs. encargado), la aplicación de controles técnicos alineados a estándares internacionales (ISO/IEC 27001, NIST) y la capacitación constante a equipos de operación y marketing.
De no hacerlo, los clubes y la liga no solo enfrentarían sanciones económicas, sino también una pérdida de confianza que puede impactar la relación con patrocinadores y aficionados.
Diferencias internacionales en la implementación del Fan ID
La experiencia de México con el Fan ID contrasta con lo que ocurre en otros países. En el caso mexicano, el sistema es obligatorio para ingresar a cualquier estadio de la Liga MX desde 2023 y su objetivo central es garantizar la seguridad en los recintos deportivos.
El registro biométrico, gestionado por la Femexfut y apoyado por Incode Technologies, busca impedir el acceso a personas vetadas o con antecedentes de violencia en estadios.
En España, en cambio, no existe un Fan ID con características biométricas obligatorias. Los clubes de La Liga manejan esquemas de identificación para socios y abonados, pero la entrada general no depende de un registro nacional único. Aquí la discusión se ha centrado más en los modelos de gestión de boletaje y control de acceso, sin un despliegue masivo de reconocimiento facial.
Por su parte, Qatar implementó un sistema similar durante la Copa Mundial de 2022, en el que los aficionados debían tramitar una tarjeta digital para ingresar a los estadios y usar servicios asociados al torneo.
Aunque el requisito fue universal para visitantes, se trató de una medida temporal vinculada al evento FIFA y no de una política sostenida a nivel de ligas locales.
En Rusia, el Fan ID se utilizó por primera vez en el Mundial de 2018 y posteriormente se convirtió en obligatorio para los partidos de liga.
A diferencia de México, en este caso es el gobierno quien lo administra directamente, lo que ha generado críticas relacionadas con la vigilancia estatal y la centralización de datos biométricos.
Por último, Reino Unido ha explorado sistemas de membresía en algunos clubes, pero no ha consolidado un modelo único de Fan ID; la gestión de accesos sigue siendo descentralizada y dependiente de cada organización deportiva.
¿Qué recomendaciones hizo el INAI sobre Fan ID?
En 2022, antes de implementar el Fan ID, el extinto INAI, la Femexfut y la Liga MX instalaron una mesa técnica de trabajo conjunto. El propósito fue analizar la estrategia de los dirigentes del fútbol para prevenir violencia en estadios y garantizar la seguridad de los aficionados.
Comisionados de esa dependencia se reunieron con el entonces titular de la Femexfut, Yon de Luisa, y de la Liga MX, Mikel Arriola, quien es comisionado permanente de la Femexfut.
El “Proyecto Integral de Seguridad en los Estadios” y el de “Asistencia al Estadio” buscaron rutas y áreas de oportunidad para que estas instituciones del deporte mexicano dieran cumplimiento a los principios y deberes establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En noviembre de 2023, el Instituto advirtió que había brechas importantes para asegurar el tratamiento adecuado de los datos personales que se recabarían. Subrayó la importancia de mejorar continuamente la experiencia de los aficionados en los partidos de fútbol, de manera segura y con respeto a su privacidad.
Entre las recomendaciones destacaron: asegurar que los riesgos estuvieran controlados durante el ciclo de vida de los datos personales; corroborar que se contaba con mecanismos menos invasivos para lograr la seguridad en los estadios, los cuales deberían recabar menos información personal, y fortalecer la implementación del Fan ID Liga MX, mediante un instrumento de planeación, que definiera claramente las etapas del tratamiento de datos personales.
En enero de 2024, la Femexfut fue notificada nuevamente por el INAI respecto a una resolución de multa. Esta vez, la multa está vinculada a deficiencias en la implementación de medidas de seguridad para el manejo de datos personales durante el registro de la Fan ID en 2023.
En su momento, el INAI señaló que, aunque se habían realizado mejoras desde la implementación inicial del Fan ID en 2022, persistían preocupaciones sobre la transparencia en el tratamiento de datos biométricos y la necesidad de garantizar la privacidad de los aficionados.
El INAI recomendó a la FMF que fortaleciera sus políticas de privacidad y la transparencia de sus procesos, en particular en lo que respecta a la obtención y almacenamiento de datos biométricos. Asimismo, solicitó a la Femexfut que implementara un proceso de auditoría interna más robusto para asegurar el cumplimiento de la Ley FLFPDPPP.
A la dependencia también le preocupaba la educación de los usuarios acerca de sus derechos en materia de privacidad y protección de datos personales. Destacaba la importancia de proporcionarles mecanismos para cuestionar o rectificar el manejo de su información personal.
Fan ID: los riesgos de la privacidad de datos
A partir de la selfie que toma el usuario, el motor biométrico del sistema crea un mapa tridimensional de su cara, lo que facilitaría identificar al titular del Fan ID en caso de ser necesario. Si el aficionado tiene un comportamiento indebido dentro del estadio, podría impedirse su acceso a partidos subsecuentes.
Incode afirma que no sería la responsable de identificar a personas que se vean involucradas en actos de violencia, pues no realiza acciones de videovigilancia o seguridad; su objetivo es verificar la identidad de quienes entran a los estadios y que el proceso se haga con un solo registro.
Sin embargo, en aquel tiempo, la Red en Defensa de los Derechos Digitales (R3D) criticó al INAI por haberse reservado la información sobre el funcionamiento técnico, el tratamiento de datos biométricos, así como el análisis de impacto en la privacidad.
Previamente, en varias ocasiones, R3D había advertido que el sistema conllevaba diferentes riesgos para los derechos humanos de las personas asistentes a los estadios. Entre ellos estaba la creación de una base de datos masiva y centralizada de datos personales que conlleva graves riesgos de vulneración.
En 2024, los especialistas mostraban preocupación por la implementación de tecnologías de videovigilancia y reconocimiento facial en los estadios como parte del sistema Fan ID. Sin embargo, algunas percepciones han evolucionado debido a nuevos desarrollos y estudios sobre la privacidad y seguridad de los datos.
Aunque el Fan ID se presenta como una herramienta de control y seguridad en los estadios, su operación implica la recolección y resguardo de millones de datos personales y biométricos.
Para los responsables IT, esto no solo representa un reto tecnológico, sino también un punto crítico de ciberseguridad y protección de datos que debe gestionarse con estándares internacionales. Los principales desafíos pueden resumirse en los siguientes frentes:
- Gestión de biométricos sensibles: Asegurar el resguardo cifrado y en repositorios con controles de acceso restringido.
- Amenazas de ciberataques: La centralización de datos de millones de aficionados se convierte en un objetivo de alto valor para ciberdelincuentes.
- Cumplimiento regulatorio continuo: No basta con cumplir al inicio. Deben existir auditorías periódicas y pruebas de penetración alineadas a marcos como ISO/IEC 27001 o NIST.
- Riesgo de uso indebido: Potencial explotación de datos con fines distintos a la seguridad, como vigilancia masiva o profiling comercial sin consentimiento expreso.
- Confiabilidad operativa: Fallas en la infraestructura (conectividad en estadios, saturación en accesos) pueden derivar en filtraciones, bypass de controles o pérdida de integridad del sistema.
- Educación y concientización: Necesidad de programas de capacitación para clubes, staff y proveedores sobre manejo responsable de datos y protocolos de respuesta a incidentes.
