El criterio en discusión apunta a reconocer que fallas en los controles de verificación de identidad no solo generan afectaciones económicas, sino también perjuicios inmateriales vinculados a la privacidad y la seguridad digital.
El caso: acceso indebido a una SIM y compromiso total de identidad digital
El asunto corresponde al Amparo en Revisión 123/2025, derivado de una usuaria que perdió el control de:
- Cuentas bancarias
- Información personal sensible
- Imágenes privadas
El incidente se originó cuando una operadora móvil entregó un duplicado de tarjeta SIM a un tercero sin validar correctamente su identidad. Este vector de ataque, conocido como SIM swapping, permite a los atacantes tomar control del número telefónico y, con ello, interceptar códigos de autenticación y restablecer accesos a múltiples servicios.
Marco legal: protección de datos y obligaciones de operadores
El proyecto en la SCJN evalúa posibles violaciones a:
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
- NOM-184-SCFI-2014, que establece disposiciones de seguridad y calidad en servicios de telecomunicaciones
La discusión se centra en si la negligencia en los procesos de validación de identidad puede derivar en responsabilidad civil por daño moral, más allá de sanciones administrativas o recuperación de activos.
Durante la sesión del 5 de abril en la Primera Sala, la ministra Loretta Ortiz Ahlf sostuvo que la exposición indebida de datos sensibles puede constituir una afectación grave a la privacidad, con consecuencias equiparables a violaciones de derechos fundamentales.
Cambio de criterio: del daño económico al daño inmaterial
Hasta ahora, los casos de fraude por SIM swapping en México se han abordado principalmente desde dos frentes:
- Recuperación de recursos mediante reclamaciones (por ejemplo, vía PROFECO)
- Procesos penales contra los responsables
El criterio en análisis introduce un tercer eje:
La posibilidad de exigir indemnizaciones por afectaciones no patrimoniales, como daño reputacional, emocional o psicológico.
Este cambio amplía significativamente la exposición legal de operadores como Telcel, Movistar y AT&T.
Implicaciones técnicas para el sector telecom
De confirmarse este criterio, el impacto para operadores y equipos técnicos sería inmediato:
1. Endurecimiento de controles de identidad
- Implementación de autenticación multifactor robusta
- Validación biométrica en procesos de reposición de SIM
- Uso obligatorio de PIN o contraseñas de portabilidad
2. Revisión de flujos operativos
- Auditorías en نقاط de atención (tiendas físicas y canales remotos)
- Trazabilidad completa de solicitudes de reemplazo
- Registro y monitoreo de eventos de alto riesgo
3. Rediseño de seguridad en autenticación
El caso vuelve a poner en entredicho el uso del número telefónico como segundo factor de autenticación (2FA), impulsando alternativas como:
- Aplicaciones de autenticación (TOTP)
- Llaves de seguridad (FIDO2)
- Passkeys
Contexto: աճ de fraudes y presión regulatoria
De acuerdo con datos del Instituto Nacional de Transparencia (INAI), en 2025 se registraron:
- 1,247 quejas por vulneraciones de datos en telecomunicaciones
- Incremento cercano al 40% en fraudes asociados a suplantación de identidad
El caso se alinea con la reforma reciente a la LFPDPPP (2024), que elevó las sanciones económicas por negligencia en el manejo de datos personales hasta un porcentaje significativo de los ingresos de las empresas.
Reacción del ecosistema
Especialistas en derechos digitales consideran que el posible fallo corrige un vacío en la protección de usuarios, al reconocer el impacto real de la exposición de datos personales más allá del ámbito financiero.
Por su parte, representantes del sector telecom han llamado a reforzar medidas preventivas, sin asumir una responsabilidad generalizada, lo que anticipa ajustes operativos en caso de que el criterio sea aprobado.
Resolución en puerta
La SCJN podría emitir una resolución definitiva en las próximas semanas. De confirmarse el criterio, se establecería un precedente relevante sobre:
- Responsabilidad de intermediarios en el manejo de identidad digital
- Alcance del daño moral en entornos tecnológicos
- Estándares mínimos de seguridad en telecomunicaciones
Para desarrolladores y arquitectos de sistemas, el caso refuerza una tendencia clara: la identidad digital y sus mecanismos de autenticación se convierten en un punto crítico de responsabilidad legal y técnica.