Exposición masiva de datos en el Registro de Celulares: qué pasó y por qué la filtración pone en jaque su implementación

A menos de 24 horas de iniciar el registro obligatorio de líneas móviles en México, especialistas en ciberseguridad advirtieron que una exposición masiva de datos personales podría frenar o debilitar la implementación del padrón, impulsado por el gobierno de Claudia Sheinbaum con el argumento de combatir delitos como la extorsión.

El registro, vigente desde el 9 de enero de 2026 y obligatorio hasta el 30 de junio, exige vincular cada número telefónico con CURP e identificación oficial. Sin embargo, el arranque quedó marcado por una vulnerabilidad crítica en el portal de Telcel, la principal operadora del país, que permitió consultar información sensible sin ningún tipo de autenticación.

Una falla que encendió las alertas

El periodista Ignacio Gómez Villaseñor, ganador del Premio AMCS 2025, documentó la brecha de seguridad y explicó que el sistema devolvía datos personales al ingresar un número telefónico, aun cuando visualmente solicitaba un código SMS.

“Un solo día bastó para que existiera una exposición masiva de datos personales en México”, advirtió el comunicador, tras comprobar que podían obtenerse nombre completo, RFC, CURP, fecha de nacimiento y correo electrónico.

Gómez Villaseñor alertó sobre el riesgo de automatización: “Con un simple bot, puedes meter millones de números y extraer la base de datos de extorsión más poderosa jamás creada en México”.

El contexto agrava el riesgo

Expertos coinciden en que la presión social por cumplir el registro genera el escenario ideal para fraudes. Con datos reales en mano, los delincuentes pueden suplantar a autoridades o empresas telefónicas con alta credibilidad.

El desarrollador @artmichel_eth confirmó la vulnerabilidad desde el primer día: “No necesitas ser hacker. Cualquiera puede ingresar un número y ver datos personales. Esto es extremadamente peligroso”.

Desconfianza ciudadana y efectos colaterales

El creador de contenido tecnológico Francisco Chávez (Paco Web) subrayó que el problema central es la falta de confianza en las instituciones: “Sabemos que las instituciones no protegen nuestros datos correctamente… ¿dónde está mi seguridad, dónde está mi tranquilidad?”.

Para Chávez, la filtración en Telcel marca un punto de quiebre: “La empresa más grande de telefonía es la primera que rompió esa confianza”, lo que podría provocar que muchos usuarios eviten registrarse o busquen alternativas como eSIM internacionales.

Telcel corrige, pero el daño persiste

Tras la exposición pública, cuentas especializadas confirmaron que Telcel cerró la vulnerabilidad, devolviendo valores nulos en los campos sensibles. “Tus datos están seguros. Cada usuario recibe un código único por SMS para acceder únicamente a su propia información y realizar la vinculación de su línea. Hemos implementado medidas de seguridad adicionales al proceso de registro. El proceso es seguro y tus datos están protegidos”, indicó la empresa en un comunicado difundido en redes sociales.

No obstante, persiste una pregunta clave: ¿cuántos datos fueron consultados o extraídos durante esas horas? No existe forma técnica de saberlo.

¿Un freno al registro obligatorio?

Para expertos en ciberseguridad, el episodio demuestra que centralizar datos de identidad en sistemas inseguros puede convertir una política de seguridad en un riesgo nacional. Con más de 130 millones de líneas activas obligadas a registrarse, una sola filtración a gran escala podría tener consecuencias irreversibles.

El registro nació bajo el discurso de la seguridad pública. Pero su primer día dejó una advertencia clara: sin infraestructura sólida y confianza ciudadana, la medida podría volverse insostenible.