Vulneración de Telcel evidencia las fallas regulatorias del padrón de telefonía
<![CDATA[
El Padrón de Telefonía ha generado más dudas que certezas. La implementación apresurada de las plataformas para vincular la identidad de los usuarios a un número telefónico generó una crisis de seguridad sin precedentes: Telcel presentó una vulnerabilidad crítica que permitió la filtración de datos personales de millones de personas durante las primeras 24 horas del registro obligatorio. Los operadores solo contaron con 30 días hábiles para implementar los sistemas que permitirán dar de alta la identidad de los consumidores a su número telefónico, pero el tiempo resultó insuficiente. Aunque la industria expuso esta limitación ante la Comisión Reguladora de Telecomunicaciones (CRT), la autoridad optó por no conceder una prórroga.
¿Qué hacer si tu información fue expuesta?
La situación ha derivado en la filtración masiva de información de usuarios Telcel, dejando al descubierto identidades, CURP, RFC, así como correos electrónicos en el portal oficial de la empresa para el registro vía remota. La subsidiaria de América Móvil es el jugador con la cartera de clientes más grande del país al contabilizar 84.3 millones, de ahí la relevancia del evento. “Al ingresar cualquier número telefónico de Telcel en el formulario, el sistema interno devuelve, sin necesidad de contraseñas ni códigos de verificación, un paquete de información completo del titular de la línea”, aseguró el periodista Ignacio Gómez Villaseñor en su cuenta oficial de X quien descubrió la falla. Telcel aseguró a Expansión que el evento no se trató de una vulneración masiva de datos, sino a una saturación por el registro de líneas telefónicas que hasta este lunes ya superan las 300, 000. La CRT, por su parte, se limitó a atribuir los problemas al alto flujo de usuarios, sin anunciar investigaciones oficiales. Pero la Secretaría Anticorrupción y Buen Gobierno abrió 20 carpetas de investigación por las vulneraciones reportadas, según detalla un documento de prensa.
¿Por qué surgieron las vulneraciones? Víctor Ruiz, CEO de la empresa de ciberseguridad Silikn, explicó que la plataforma de registro de Telcel presentó una vulnerabilidad por una configuración inadecuada, lo que permitió que, al ingresar cualquier número telefónico y revisar la consola del sitio web, fuera posible visualizar los datos personales de usuarios que ya habían completado el registro. La falla, al mantenerse activa durante varias horas antes de ser corregida, es posible que terceros pudieran analizar la estructura del código de la página para replicar posteriormente la extracción de datos mientras el sistema permaneció vulnerable. “Quizá no había tantos registros en ese momento (de la vulneración) como sí en las bases de datos que se han filtrado de otras empresas y operadores telefónicos, pero sí es grave la situación porque el gobierno está delegando en estas empresas telefónicas la seguridad y el resguardo de sus datos y como en esta ocasión si se llegan a ver muy vulnerados, el gobierno prácticamente se deslindará de cualquier afectación”, lamentó el especialista. El año pasado, a nivel global el 63% de las compañías de telecomunicaciones lidiaron con al menos un ciberataque, según reveló el estudio de Nokia Threat Intelligence Report 2025. En la actualidad, las empresas se resisten a informar ciberataques por temor a problemas de reputación. Bajo ese contexto, solo Brasil y Chile cuentan con una regulación que exige a los operadores de telecomunicaciones a informar vulneraciones de sus sistemas, mientras que las demás naciones de Latinoamérica, como en México, no existe una legislación que obligue a las compañías a transparentar este tipo de ataques. Para el especialista la vulneración de Telcel también puso en evidencia la premura para la implementación del padrón de telefonía, pero también una regulación mal implementada. Aunque la medida busca atacar al crimen organizado y combatir las extorsiones, los grupos dedicados a este tipo de ilícitos ya no utilizan líneas telefónicas habituales para delinquir, sino que se comunican a través de mensajería cifrada como Telegram, Signal, Sessions, pero muchas veces a partir de números SIM virtuales que posteriormente son desechadas. “No creemos que ningún líder del crimen organizado o alguna célula del cibercrimen vaya a registrar su el teléfono con su propio nombre sino que van a buscar la manera de seguir vulnerando a la gente, es por eso que considero que la regulación no está contemplando cómo ha evolucionado el delito y las innovaciones que ha tenido”, aseguró el CEO de Silikn. Ante las fallas detectadas en las plataformas de registro, el especialista recomendó a los usuarios esperar a que los sistemas estén plenamente habilitados antes de realizar el trámite, al recordar que el plazo legal para completar el registro vence hasta el próximo 30 de junio. Además, dijo que conforme avance la implementación, los consumidores también pueden exigir a las empresas mayores garantías sobre la protección de sus datos personales, en un contexto donde la seguridad de la información aún genera dudas. “Si los operadores no asumen una responsabilidad clara ni ofrecen certidumbre sobre el resguardo de la información, los usuarios podrían optar incluso por cancelar sus líneas, lo que tendría un impacto directo en las compañías con mayor participación de mercado. El registro aunque trata de una exigencia legal, las empresas aún no garantizan plenamente la protección de los datos personales, lo que abre la puerta a que competidores con mejores estándares de seguridad capten a los usuarios inconformes”, aseguró el especialista. El padrón de telefonía se perfila como una política pública que, lejos de generar confianza, ha puesto en evidencia las debilidades técnicas, regulatorias y de supervisión en el resguardo de datos personales. Mientras las autoridades mantienen la obligatoriedad del registro y los operadores afinan plataformas bajo presión, los usuarios quedan atrapados entre una exigencia legal y la incertidumbre sobre la seguridad de su información, en un entorno donde las fallas ya demostraron que los riesgos no son hipotéticos, sino reales.
]]>
