¿Registro obligatorio de líneas móviles es una política para fortalecer la seguridad pública o para normalizar la exposición de tados personales?

Desde antes de su entrada en vigor, el registro obligatorio de líneas móviles encendió alertas entre especialistas en ciberseguridad. A principios de diciembre de 2025, la unidad de investigación de SILIKN advirtió que la medida, promovida por el gobierno como un instrumento para combatir delitos como la extorsión telefónica, los secuestros virtuales y diversas modalidades de fraude, nacía con limitaciones estructurales y riesgos relevantes para la protección de los datos personales.

La narrativa oficial sostiene que el padrón permitirá identificar a los responsables de llamadas ilícitas y desincentivar el uso de números anónimos. La Comisión Reguladora de Telecomunicaciones (CRT) ha afirmado que los operadores —Telcel, AT&T, Movistar y otros— resguardarán la información de los usuarios bajo estándares equiparables a los aplicados en los servicios de pospago, en apego a la Ley Federal de Protección de Datos Personales. No obstante, esa promesa se formula en un entorno que ha erosionado la confianza pública.

Durante 2025, al menos dos de las principales empresas del sector enfrentaron filtraciones masivas que expusieron datos sensibles de millones de personas, incluidos identificadores oficiales, domicilios y registros financieros. Para la unidad de investigación de SILIKN, estos antecedentes confirman que una nueva brecha no sería un hecho aislado, sino un riesgo latente con consecuencias previsibles: robo de identidad, fraudes financieros y extorsiones dirigidas, precisamente los delitos que la política pública busca erradicar.

A ello se suma una crítica reiterada de especialistas y organizaciones civiles: aun con un registro obligatorio, el impacto real sobre la delincuencia sería limitado. Las redes criminales han migrado con rapidez hacia servicios de voz sobre internet y plataformas de mensajería cifrada que no dependen de una tarjeta SIM nacional ni están sujetas al marco regulatorio mexicano. El uso de numeración internacional, técnicas de suplantación (spoofing), redes privadas virtuales y cuentas desechables sigue permitiendo la realización de llamadas locales sin un rastro verificable.

Uno de los flancos más delicados es la suplantación de identidad. Aunque las empresas están obligadas a validar documentos contra bases oficiales, el mercado negro de datos personales y la circulación de credenciales falsas facilitan que terceros registren líneas a nombre de personas ajenas a cualquier actividad ilícita. Cuando las víctimas detectan la usurpación, los casos suelen derivar en procesos prolongados y poco concluyentes ante fiscalías y unidades cibernéticas, que deben reconstruir activaciones, solicitar grabaciones de puntos de venta y rastrear dispositivos mediante el IMEI.

Las advertencias se materializaron el 9 de enero de 2026, con el inicio formal del registro. Telcel, el operador dominante del mercado con más de 84 millones de líneas activas, enfrentó una grave vulnerabilidad en su portal de registro remoto. Durante varias horas, el sistema permitió acceder a información completa de los titulares —nombre, CURP, RFC y correo electrónico— con solo introducir un número telefónico, sin mecanismos robustos de autenticación ni verificación adicional. El incidente fue documentado públicamente por el periodista Ignacio Gómez Villaseñor y detonó la alarma en el sector.

La empresa negó que se tratara de una filtración masiva y atribuyó el episodio a un error técnico derivado de la saturación del sistema por el alto volumen de registros. Aseguró haber corregido la falla de inmediato y sostuvo que los datos de sus usuarios siempre estuvieron protegidos. Sin embargo, la unidad de investigación de SILIKN confirmó que la información fue accesible durante horas debido a una configuración inadecuada, visible incluso desde el navegador web.

Para la unidad de investigación de SILIKN, el incidente evidenció la improvisación con la que se implementó el padrón. Las operadoras dispusieron de apenas 30 días hábiles para desarrollar y desplegar plataformas destinadas a concentrar datos altamente sensibles, pese a que la industria advirtió que ese plazo resultaba insuficiente. La CRT rechazó otorgar prórrogas y trasladó a las empresas toda la responsabilidad operativa y de seguridad.

El episodio reavivó el debate sobre la ausencia de una legislación especializada en ciberseguridad. A diferencia de países como Brasil o Chile, México carece de una norma que obligue a notificar de manera inmediata las brechas de seguridad. De acuerdo con el Nokia Threat Intelligence Report 2025, casi dos terceras partes de las compañías de telecomunicaciones a nivel global sufrieron al menos un ciberataque durante el año previo, muchos de los cuales no se reportan por temor al impacto reputacional.

En el ámbito institucional, la Secretaría Anticorrupción y Buen Gobierno abrió carpetas de investigación por las vulneraciones reportadas, mientras que la CRT atribuyó los problemas iniciales al alto flujo de usuarios, sin anunciar sanciones concretas. Aunque el marco legal vigente contempla multas y responsabilidades administrativas por el manejo negligente de datos personales, especialistas consideran poco probable la imposición de castigos ejemplares, dado que el propio gobierno delegó en las operadoras la ejecución de un padrón que ahora debe supervisar.

La unidad de investigación de SILIKN anticipa que el caso podría cerrarse sin consecuencias significativas, bajo el argumento de que las empresas presentaron pruebas suficientes sobre la seguridad de sus sistemas. De confirmarse ese escenario, el mensaje sería preocupante: una política diseñada para fortalecer la seguridad pública terminaría normalizando la exposición masiva de información personal.

Mientras tanto, los grupos criminales continúan adaptándose. El uso de eSIM, servicios VoIP, mensajería cifrada, robo y suplantación de líneas, así como la coerción directa a usuarios para emplear sus números en actividades ilícitas, perfila un ecosistema delictivo cada vez más sofisticado y menos dependiente de registros formales.

VEl padrón telefónico busca centralizar más de 158 millones de líneas antes de junio de 2026. Sin un marco integral de ciberseguridad, auditorías independientes y obligaciones claras de transparencia, el riesgo es evidente: en el intento por controlar el delito, el Estado podría estar construyendo una de las mayores bases de datos sensibles del país sin garantías suficientes para protegerla. La pregunta ya no es si el sistema será vulnerado, sino cuándo y con qué consecuencias para la privacidad de millones de ciudadanos.-

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.