Exposición Masiva de Datos en el Registro Obligatorio de Celulares: Falla Crítica en el Primer Día

A menos de 24 horas de la entrada en vigor del registro obligatorio de líneas móviles en México —impulsado por el gobierno de Claudia Sheinbaum— ya se ha documentado una exposición masiva de datos personales que compromete a millones de usuarios.

etcetéra

1/13/20264 min read

A menos de 24 horas de la entrada en vigor del registro obligatorio de líneas móviles en México —impulsado por el gobierno de Claudia Sheinbaum— ya se ha documentado una exposición masiva de datos personales que compromete a millones de usuarios.

Investigadores, periodistas y especialistas en ciberseguridad alertaron que el portal de Telcel, la principal operadora del país, presentó una vulnerabilidad crítica que permitió consultar información sensible de los titulares de líneas sin ningún tipo de autenticación, dejando abierta la puerta a extorsión, fraude bancario, robo de identidad y secuestro de cuentas digitales.

El registro —que obliga a vincular cada número telefónico con CURP e identificación oficial— comenzó el 9 de enero de 2026 y debe completarse antes del 30 de junio. Aunque la ley fue aprobada en 2025 con el argumento de combatir delitos como la extorsión, la implementación técnica ha demostrado ser exactamente lo contrario: una plataforma de recolección masiva de datos para el crimen organizado.

La falla técnica que expone a millones

El periodista Ignacio Gómez Villaseñor, ganador del Premio AMCS 2025, documentó públicamente la falla en el portal de Telcel. En un video técnico, mostró que al ingresar un número telefónico en el sistema de registro, el servidor respondía con un archivo JSON que contenía:

  • Nombre completo

  • Fecha de nacimiento

  • RFC

  • CURP

  • Correo electrónico

Todo esto sin requerir código SMS, token, contraseña ni verificación del titular.

“Un solo día bastó para que existiera una exposición masiva de datos personales en México”, declaró Villaseñor tras validar técnicamente la vulnerabilidad.

Desde una perspectiva de ciberseguridad, esto es devastador: cualquier atacante puede automatizar consultas con bases de números telefónicos filtrados y construir una base de datos nacional verificada, precisa y actualizada, ideal para extorsión dirigida, fraudes bancarios, phishing y secuestro de cuentas de WhatsApp.

“Con un simple bot, puedes meter millones de números y extraer la base de datos de extorsión más poderosa jamás creada en México”, advirtió el periodista.

La tormenta perfecta para el fraude

El momento no podría ser peor. La población mexicana está bajo presión por una ley que amenaza con suspender líneas telefónicas si no se registran antes del 30 de junio. Esto crea el entorno ideal para:

  • Llamadas falsas “de Telcel”

  • Mensajes de “verificación de datos”

  • Robo de cuentas de WhatsApp

  • Fraude fiscal

  • Vaciamiento de cuentas bancarias

Con datos reales en mano —CURP, nombre, RFC— los criminales pueden suplantar a la operadora o al gobierno con un nivel de precisión que antes no existía.

Más reportes confirman el riesgo

El desarrollador web @artmichel_eth reportó la misma falla:

“Desde el primer día ya hay vulnerabilidades. No necesitas ser hacker. Cualquiera puede ingresar un número y ver datos personales. Esto es extremadamente peligroso”.

El especialista en telecomunicaciones @faustozavala recordó que organizaciones como R3D (Red en Defensa de los Derechos Digitales) ya habían advertido desde 2025 que estos padrones no reducen el crimen, pero sí multiplican el daño cuando son vulnerados.

Usuarios también reportan comportamientos anómalos. Uno de ellos escribió:

“Desde ayer recibo llamadas silenciosas de números casi idénticos al mío, solo cambian los últimos cuatro dígitos”.

Ese patrón es típico de reconocimiento automatizado previo a ataques dirigidos.

Una ley peligrosa en manos de sistemas inseguros

La reforma a la Ley Federal de Telecomunicaciones y Radiodifusión limita a 10 líneas por persona y permite el uso de datos biométricos, bajo el argumento de eliminar el anonimato en delitos. Pero cuando los sistemas que resguardan esa información son inseguros, el resultado es un arma digital contra la propia población.

Más de 130 millones de líneas activas están obligadas a registrarse. Una sola filtración o explotación a escala convierte este padrón en el mayor botín de datos personales en la historia del país.

Hasta ahora, Telcel no ha emitido ningún comunicado oficial. Algunos accesos al portal comenzaron a devolver errores 503, lo que sugiere que la falla pudo haber sido parcialmente contenida, pero no existe confirmación pública de que la brecha haya sido cerrada ni de que los datos extraídos estén protegidos.

Conclusión

El Registro Nacional de Usuarios de Telefonía Móvil nació bajo el discurso de la seguridad pública.
Pero en su primer día, ya demostró ser una infraestructura de riesgo nacional.

Cuando el Estado obliga a centralizar datos de identidad y los entrega a plataformas mal diseñadas, el resultado no es seguridad: es una fábrica de víctimas.

CiberConcienciaDigital seguirá documentando cada vulnerabilidad, cada abuso y cada filtración.
Porque en ciberseguridad, lo que no se denuncia, se vuelve costumbre.

Actualización de Último Momento: Telcel apaga la fuga… después del daño

Al cierre de esta publicación, la cuenta especializada @TelefoniasU confirmó que Telcel corrigió la vulnerabilidad expuesta públicamente.

Según el reporte técnico, el portal de registro ahora devuelve valores null en todos los campos sensibles —nombre, CURP, RFC, fecha de nacimiento, correo electrónico— incluso cuando se ingresa un número válido. Es decir, la API ya no entrega datos personales sin autenticación.

“La vulnerabilidad (por no decir incompetencia) de Telcel fue corregida, ahora devuelve null todos los datos. Gracias a @ivillaseñor por darle difusión”, publicó Telefonías Unlimited.

La captura publicada muestra claramente que los campos antes expuestos ahora aparecen vacíos, lo que indica que la filtración fue real, confirmada y posteriormente cerrada solo después de hacerse pública.

Pero el riesgo no ha desaparecido

Que Telcel haya cerrado la fuga no significa que los datos no hayan sido ya extraídos.

Durante horas —posiblemente todo el primer día del registro obligatorio— cualquier persona pudo:

  • Consultar millones de números

  • Extraer CURP, RFC y correos

  • Construir bases de datos de alta precisión

No existe forma técnica de saber:

  • Cuántos números fueron consultados

  • Quién accedió

  • Si se copiaron bases completas

  • Si grupos criminales ya tienen esa información

Eso es precisamente lo que hace esta brecha tan grave: fue una filtración silenciosa, sin alertas ni registros públicos de auditoría.

Conclusión

Telcel cerró la puerta.
Pero el saqueo pudo haber ocurrido mientras estaba abierta.

El Registro Nacional de Líneas ya no es solo una preocupación teórica. En su primer día, demostró que es un objetivo de alto valor para el crimen digital, y que su implementación fue técnicamente negligente.

En ciberseguridad, no importa que una brecha se cierre
Lo que importa es si alguien entró mientras estaba abierta.

Y en este caso, todo indica que sí.

SISA Consultores.

Soluciones innovadoras para tu empresa.

Contacto

Consultoría

soporte@sisaconsultores.mx

+52 33 2248 0100

© 2024. All rights reserved.

Soporte SISA

+52 33 1240 9744

info@sisaconsultores.mx

Síguenos en:

Nuestro aviso de privacidad