Brecha en el padrón de telefonía móvil coloca a Telcel bajo investigación y abre la puerta a sanciones regulatorias

La vulnerabilidad detectada en el portal de registro obligatorio de líneas móviles de Telcel el pasado 9 de enero encendió alertas en el sector de telecomunicaciones y colocó a la empresa en el centro de una investigación oficial. Durante varias horas, el sistema permitió visualizar datos personales sensibles —nombre completo, CURP, RFC y correo electrónico— con solo ingresar un número telefónico, sin mecanismos de autenticación robustos, según reportes de especialistas en ciberseguridad. La Secretaría Anticorrupción y Buen Gobierno confirmó que abrió una indagatoria de oficio para determinar si la compañía incumplió con las obligaciones de protección de datos personales establecidas en la ley.

El incidente ocurrió apenas dos días después del arranque del padrón nacional de telefonía móvil, un proceso que exige a millones de usuarios registrar sus líneas con información oficial. Telcel atribuyó la exposición a un “error técnico” y aseguró que la vulnerabilidad fue corregida de inmediato, negando una filtración masiva de información. Sin embargo, expertos advierten que la sola posibilidad de acceder a datos sensibles sin verificación representa una falla grave en los protocolos de seguridad digital, independientemente del tiempo que estuvo activa.

 

El contexto regulatorio también juega un papel central. La Secretaría Anticorrupción señaló que, a diferencia del extinto INAI, ahora existe la obligación de iniciar investigaciones de oficio ante cualquier señal de vulneración de datos personales. La dependencia ya tiene abiertos más de 20 procedimientos similares en instituciones públicas y privadas, lo que evidencia un patrón de fallas en plataformas que gestionan información crítica. Además, la autoridad adelantó que trabaja en una reforma para endurecer la Ley Federal de Protección de Datos Personales, con sanciones más estrictas para empresas que incumplan con medidas de seguridad adecuadas. 

 

Desde una lectura institucional, el caso exhibe los límites de un sistema que delega en empresas privadas la gestión de información altamente sensible sin un marco de ciberseguridad actualizado. La exposición temporal de datos no solo compromete la privacidad de los usuarios, sino que también debilita la confianza en un padrón diseñado para combatir delitos como extorsión y fraude. Cuando un registro obligatorio falla en su primera semana, la discusión deja de ser técnica y se convierte en un debate sobre responsabilidad pública y privada.

 

Las próximas horas dirán si la investigación deriva en sanciones formales o si el caso se convierte en un precedente para fortalecer la regulación digital en México. La pregunta ahora es qué modelo de protección de datos se construirá a partir de este episodio.

 

👉 Faro MX: Luz sobre lo que importa.