Unos días después de que entró en vigor la obligación legal de registrar las líneas telefónicas con documentación oficial, el sistema ya exhibe una falla de dimensiones alarmantes. Lejos de fortalecer la seguridad de los usuarios, el nuevo esquema abrió la puerta a una posible exposición masiva de datos personales que pone en riesgo a millones de personas en México, en particular a los clientes de Telcel.
El 9 de enero de 2026 inició formalmente el registro obligatorio de teléfonos móviles. Como parte de este proceso, Telcel habilitó un portal digital para que los usuarios ingresaran su información. Sin embargo, la plataforma presenta una vulnerabilidad crítica: al introducir un número Telcel, el sistema devuelve de forma automática datos personales del titular de la línea, aun cuando en pantalla aparenta exigir un código de verificación enviado por SMS. En los hechos, ese mecanismo no funciona como una barrera de seguridad. La información ya ha sido expuesta antes de cualquier proceso real de autenticación.
Pruebas técnicas confirman que no es necesario contar con contraseñas ni demostrar la propiedad de la línea para acceder a información sensible. Basta con conocer un número telefónico para obtener el nombre completo del usuario, su RFC, un código QR asociado y, en algunos casos, su correo electrónico. No se trata de un error menor ni aislado. El delito digital no opera de manera manual; se basa en procesos automatizados.
Actualmente existen bases de datos filtradas con millones de números telefónicos de mexicanos. Con esta vulnerabilidad, un atacante puede desarrollar un bot —un programa automatizado— capaz de introducir esos números de forma masiva en el portal y almacenar las respuestas. En cuestión de horas, podría construirse una base de datos de gran escala que vincule números reales con identidades fiscales completas. Se trataría de un insumo ideal para extorsión, fraude y suplantación de identidad, generado de manera irónica desde una plataforma oficial.
El contexto vuelve la situación aún más delicada. La entrada en vigor de la nueva ley ha generado nerviosismo generalizado y mantiene a la población atenta a cualquier comunicación de su compañía telefónica o de autoridades. Con datos auténticos en su poder, un estafador puede llamar a una persona por su nombre completo, mencionar los últimos dígitos de su línea y exigir una “validación urgente” de la CURP para evitar la cancelación del servicio. La credibilidad sería total y el engaño, casi inevitable.
Las consecuencias potenciales son graves: robo de cuentas de WhatsApp, suplantación de identidad ante el SAT, fraudes bancarios dirigidos y extorsiones personalizadas. Todo ello deriva de una medida que, en teoría, buscaba combatir al crimen, pero que en menos de un día terminó facilitándole al crimen organizado una herramienta de estafas y extorsión sin precedentes.
Ante este escenario, la recomendación es clara y urgente: no realizar el registro hasta que la falla sea aclarada y corregida, y desconfiar de cualquier llamada, mensaje o correo que solicite la confirmación de datos personales, incluso si aparenta ser legítimo. Informar a familiares y personas cercanas resulta fundamental. Hoy, millones de datos reales podrían estar expuestos y el riesgo es inmediato.
Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT)
