En un entorno donde la digitalización de trámites avanza con rapidez, un incidente reciente en México volvió a colocar en el centro del debate la protección de los datos personales. A pocas horas de entrar en vigor una nueva regulación para registrar líneas telefónicas con identificadores únicos, se detectó una vulnerabilidad en el sistema de una de las principales operadoras del país.
El fallo permitió el acceso a información sensible de usuarios y abrió cuestionamientos sobre la solidez técnica con la que se implementó esta política pública, así como sobre la capacidad de las autoridades y empresas para resguardar datos de millones de personas.
La nueva regulación y su aplicación acelerada
El 9 de enero de 2026 comenzó a aplicarse una norma que obliga a los usuarios de telefonía móvil a vincular su número con la Clave Única de Registro de Población (CURP). El objetivo oficial es combatir delitos como la extorsión, reduciendo el uso de líneas anónimas.
La medida impacta a más de 130 millones de líneas activas en México. Una sola operadora concentra cerca del 70 por ciento del mercado, lo que incrementó la presión operativa para cumplir en plazos reducidos. Desde su aprobación, la ley fue cuestionada por la falta de tiempo para desarrollar sistemas suficientemente robustos.
La falla detectada en el portal de registro
Un día después, el 10 de enero, se identificó una vulnerabilidad crítica en el portal de registro de la operadora dominante. La plataforma, diseñada para vincular números telefónicos con datos personales, permitía consultar información sensible sin procesos adecuados de verificación.
Bastaba ingresar un número telefónico válido para que el sistema devolviera datos confidenciales, lo que abría la puerta a consultas no autorizadas y a una posible exposición masiva de información, según documentaron diversos especialistas en seguridad informática.
Cómo funcionaba la vulnerabilidad
La falla se localizó en la API del sistema. Al introducir un número telefónico, el portal mostraba automáticamente nombre completo, CURP, RFC y correo electrónico, sin exigir contraseña, código SMS ni otro mecanismo de autenticación.
Durante varias horas, el acceso se mantuvo abierto, en contradicción con estándares básicos de ciberseguridad. Especialistas advirtieron que esta condición facilitaba fraudes dirigidos, phishing y posibles intentos de extorsión, sobre todo si se combinaba con bases de datos previamente filtradas.
Aunque no existe confirmación oficial de una extracción masiva, el riesgo fue real debido a la facilidad de explotación de la falla.
Reacción de la empresa y postura oficial
La operadora involucrada aseguró públicamente que los datos estaban protegidos y que el sistema operaba de forma segura. Señaló que, tras detectar el problema, se reforzaron los controles, incluyendo el uso de códigos únicos por SMS para completar el registro.
No obstante, el hecho de que la información haya estado disponible sin autenticación durante horas constituye técnicamente una brecha de seguridad, independientemente de si se confirma o no una extracción de datos.
Por su parte, la autoridad reguladora de telecomunicaciones reconoció intermitencias en las plataformas debido al alto volumen de usuarios, pero no se pronunció de forma directa sobre la vulnerabilidad. El organismo encargado de la protección de datos personales tampoco ha emitido una postura pública hasta ahora.
Riesgos y consecuencias para los usuarios
El incidente evidenció los peligros de implementar padrones nacionales de datos personales sin pruebas suficientes. Diversos usuarios han manifestado preocupación por verse obligados a registrar su información bajo la advertencia de suspensión del servicio, limitada únicamente a llamadas de emergencia.
Entre los riesgos potenciales se encuentran el incremento de fraudes, suplantación de identidad y una mayor desconfianza en las instituciones encargadas de regular y proteger la información personal.
Especialistas recomiendan a los usuarios mantenerse atentos a comunicados oficiales, documentar cualquier anomalía y reforzar la seguridad de correos y contraseñas asociadas a sus líneas. A nivel estructural, el caso subraya la necesidad de auditorías independientes y de una estrategia de ciberseguridad más sólida antes de aplicar regulaciones de gran escala.
