Exposición Masiva de Datos en el Registro Obligatorio de Celulares: Falla Crítica en el Primer Día

10 de enero de 2026 — A menos de 24 horas de la entrada en vigor del registro obligatorio de líneas móviles en México —impulsado por el gobierno de Claudia Sheinbaum— ya se ha documentado una exposición masiva de datos personales que compromete a millones de usuarios.

Investigadores, periodistas y especialistas en ciberseguridad alertaron que el portal de Telcel, la principal operadora del país, presentó una vulnerabilidad crítica que permitió consultar información sensible de los titulares de líneas sin ningún tipo de autenticación, dejando abierta la puerta a extorsión, fraude bancario, robo de identidad y secuestro de cuentas digitales.

El registro —que obliga a vincular cada número telefónico con CURP e identificación oficial— comenzó el 9 de enero de 2026 y debe completarse antes del 30 de junio. Aunque la ley fue aprobada en 2025 con el argumento de combatir delitos como la extorsión, la implementación técnica ha demostrado ser exactamente lo contrario: una plataforma de recolección masiva de datos para el crimen organizado.

La falla técnica que expone a millones

El periodista Ignacio Gómez Villaseñor, ganador del Premio AMCS 2025, documentó públicamente la falla en el portal de Telcel. En un video técnico mostró que al ingresar un número telefónico en el sistema de registro, el servidor respondía con un archivo JSON que contenía nombre completo, fecha de nacimiento, RFC, CURP y correo electrónico, todo sin requerir código SMS, token, contraseña ni verificación del titular.

“Un solo día bastó para que existiera una exposición masiva de datos personales en México”, declaró Villaseñor tras validar técnicamente la vulnerabilidad. Desde una perspectiva de ciberseguridad esto es devastador: cualquier atacante puede automatizar consultas con bases de números telefónicos y construir una base de datos nacional verificada, precisa y actualizada, ideal para extorsión dirigida, fraudes bancarios, phishing y secuestro de cuentas de WhatsApp. “Con un simple bot puedes meter millones de números y extraer la base de datos de extorsión más poderosa jamás creada en México”, advirtió.

La tormenta perfecta para el fraude

La población mexicana está bajo presión por una ley que amenaza con suspender líneas telefónicas si no se registran antes del 30 de junio, creando el entorno ideal para llamadas falsas “de Telcel”, mensajes de “verificación de datos”, robo de cuentas de WhatsApp, fraude fiscal y vaciamiento de cuentas bancarias. Con datos reales en mano —CURP, nombre, RFC— los criminales pueden suplantar a la operadora o al gobierno con una precisión sin precedentes.

Más reportes confirman el riesgo

El desarrollador web @artmichel_eth reportó la misma falla: “Desde el primer día ya hay vulnerabilidades. No necesitas ser hacker. Cualquiera puede ingresar un número y ver datos personales. Esto es extremadamente peligroso”. El especialista en telecomunicaciones @faustozavala recordó que organizaciones como R3D ya habían advertido desde 2025 que estos padrones no reducen el crimen, pero sí multiplican el daño cuando son vulnerados. Usuarios también reportan llamadas silenciosas desde números casi idénticos, un patrón típico de reconocimiento automatizado previo a ataques dirigidos.

Una ley peligrosa en manos de sistemas inseguros

La reforma a la Ley Federal de Telecomunicaciones y Radiodifusión limita a 10 líneas por persona y permite el uso de datos biométricos, bajo el argumento de eliminar el anonimato. Pero cuando los sistemas que resguardan esa información son inseguros, el resultado es un arma digital contra la población. Más de 130 millones de líneas activas están obligadas a registrarse. Una sola filtración convierte este padrón en el mayor botín de datos personales en la historia del país. Telcel no ha emitido comunicado oficial; algunos accesos comenzaron a devolver errores 503, pero no hay confirmación pública de que la brecha haya sido cerrada ni de que los datos estén protegidos.

Conclusión

El Registro Nacional de Usuarios de Telefonía Móvil nació bajo el discurso de la seguridad pública, pero en su primer día ya demostró ser una infraestructura de riesgo nacional. Cuando el Estado obliga a centralizar datos de identidad y los entrega a plataformas mal diseñadas, el resultado no es seguridad: es una fábrica de víctimas. 📌 CiberConcienciaDigital seguirá documentando cada vulnerabilidad, abuso y filtración, porque en ciberseguridad lo que no se denuncia se vuelve costumbre.