La entrada en vigor del registro obligatorio de líneas móviles en México, a través del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), desató una crisis de confianza. La presión por vincular cada línea con la CURP derivó en una supuesta vulnerabilidad de Telcel que, según denunciantes, dejó expuesta información personal sensible de millones de clientes.
También te puede interesar: Por qué la independencia de México no está a negociación con Estados Unidos
El contexto: el padrón nacional de usuarios de telefonía móvil (PANAUT)
El PANAUT se estableció como una medida impulsada por el gobierno mexicano para eliminar el anonimato en las líneas telefónicas y combatir delitos como fraudes, extorsiones o suplantación de identidad.
Este registro es obligatorio para todas las líneas, tanto pospago como prepago, e implica la vinculación con la identidad real del titular mediante:
- Identificación oficial con fotografía y la CURP.
- Verificación biométrica (toma de huella digital y fotografía facial).
El proceso de implementación y las fechas límite, aunque claras, han generado confusión y riesgo:
- 9 de enero de 2026: Fecha de entrada en vigor para líneas nuevas, cuyo registro debe ser inmediato.
- 30 de junio de 2026: Plazo máximo para que los usuarios con líneas activas antes de esa fecha completen el trámite.
- 1 de julio de 2026: Fecha a partir de la cual Telcel podrá suspender temporalmente las líneas no registradas.
La denuncia: falla de seguridad crítica y exposición masiva de datos
Poco después de que entrara en vigor el proceso de registro, se reportó una vulnerabilidad en las plataformas digitales de Telcel. La cuenta de X, Telefonías Unlimited (@TelefoniasU), fue la que realizó la denuncia original, la cual fue retomada por el periodista Ignacio Gómez Villaseñor.
Gómez Villaseñor aseguró que se trataba de una vulnerabilidad de “seguridad crítica” que permitía obtener datos de cualquier usuario sin necesidad de contraseñas ni códigos de verificación. Esta falla, presuntamente relacionada con malas prácticas de programación, habría dejado “al descubierto la identidad, la CURP, el RFC y correo electrónico de millones de usuarios”.
La amenaza que advirtieron los usuarios y especialistas es la facilidad de automatización del proceso. Se señaló que:
- Cualquier ciberdelincuente podría usar bases de números de Telcel y automatizar la extracción masiva de información.
- Esto incrementaría drásticamente el riesgo de fraudes bancarios, suplantación de identidad y llamadas de phishing.
Según el periodista Gómez Villaseñor, este problema surgió por la aprobación apresurada de la ley de registro obligatorio, pues se advirtió que el riesgo era enorme y no se tomó el tiempo necesario para la preparación de la iniciativa privada, la sociedad y el gobierno.
Respuesta de telcel y la visión de los reguladores
Ante la denuncia de exposición de datos, Telcel emitió un comunicado oficial asegurando que se habían implementado medidas de seguridad adicionales y que los datos de los clientes estaban protegidos.
Telcel declaró específicamente: “Tus datos están seguros. Cada usuario recibe un código único por SMS para acceder únicamente a su propia información y realizar la vinculación de su línea. Hemos implementado medidas de seguridad adicionales al proceso de registro. El proceso es seguro y tus datos están protegidos”.
Por su parte, la Comisión Reguladora de Telecomunicaciones (CRT) explicó que, sin aludir al caso específico, se presentaron intermitencias en las plataformas durante el inicio del registro debido al alto flujo de usuarios. La comisión indicó que se mantiene en contacto con los operadores para garantizar la correcta operatividad de sus sistemas.
Sin embargo, el periodista Ignacio Gómez Villaseñor criticó fuertemente el comunicado de Telcel:
- Consideró que la empresa no ofreció una disculpa por la exposición inicial de datos personales que ocurrió por “varias horas”.
- Advirtió que, aunque ya no hubiera datos personales, la forma en que “arreglaron” la plataforma podría dejar abierta la puerta a otro tipo de ataques.
Una fuente señaló que el fallo se presentó en el sistema de registro de la Comisión Federal de Telecomunicaciones (Cofetel) y Telcel, lo que facilitaría consultas masivas y la construcción de bases de datos ilegales.
Qué significa el registro obligatorio de la CURP para los usuarios
La polémica sobre la vulnerabilidad de la plataforma de Telcel ha puesto en duda la seguridad del registro en línea. La exposición alcanzó datos cruciales para la ciudadanía como la CURP y el RFC.
Hasta el momento, aunque Telcel afirmó haber corregido el fallo, la recomendación general y la vía más segura para los usuarios es la modalidad presencial:
- Acudir a un Centro de Atención a Clientes.
- Presentar identificación vigente, la CURP y la línea activa.
- Ahí se realiza la toma de huella, la fotografía y se confirma la información.
Aunque la opción en línea incluirá carga de documentos, selfie y verificación biométrica digital, se recomienda evitar enlaces no oficiales, no compartir datos en sitios sospechosos y esperar a que se corrijan las vulnerabilidades. El registro es obligatorio y la suspensión temporal de líneas podría ocurrir a partir del 1 de julio de 2026 si no se completa el proceso.
En un contexto donde la confianza en la privacidad es clave, la seguridad de la información durante estos procesos es un tema urgente, exponiendo la tensión generada por la implementación de una ley exprés.
