Por: Gilberto Solorza
Telcel enfrenta acusaciones por exponer datos personales de usuarios tras el inicio del registro obligatorio de líneas móviles en México. En ese contexto, la vulnerabilidad salió a la luz el 10 de enero de 2026, un día después del arranque del proceso. Entonces, usuarios, analistas y periodistas comprobaron que ingresar un número telefónico en el portal oficial permitía ver nombre completo, CURP, RFC, correo electrónico y fecha de nacimiento. Además, el acceso ocurría sin autenticación previa, contraseñas ni tokens de seguridad, desde el sitio registro.telcel.com.
El incidente ocurrió dentro del nuevo registro nacional de líneas celulares que el gobierno mexicano impuso del 9 de enero al 30 de junio de 2026. Así, la medida obliga a vincular cada número telefónico con la CURP o la credencial del INE. De acuerdo con la autoridad, el objetivo consiste en combatir extorsiones, fraudes y delitos de alto impacto. Por ello, Telcel notificó a sus clientes vía SMS y exigió validación biométrica mediante una selfie. Con ello, la empresa busca cumplir la norma y evitar la suspensión de líneas al concluir el plazo.
Denuncias, verificaciones y riesgos legales
Las denuncias públicas señalaron que el sistema devolvía datos sensibles asociados a un número telefónico. En particular, la información aparecía en la respuesta del servidor o en el código fuente. Incluso, el sistema mostraba los datos sin que el usuario recibiera o ingresara un código de verificación. De esta forma, la falla permitió el acceso potencial a miles de registros. Asimismo, abrió la puerta a una extracción masiva mediante bases de datos de números activos.
La cuenta de X @TelefoniasU difundió la primera alerta. Desde entonces, advirtió que bastaba introducir cualquier número activo para obtener información del titular. Más tarde, el periodista Ignacio Gómez Villaseñor verificó la vulnerabilidad de forma independiente. A partir de sus pruebas, documentó el acceso a múltiples registros sin mecanismos de autenticación. Como resultado, diversos medios nacionales retomaron la denuncia y amplificaron su alcance.
Especialistas en ciberseguridad advirtieron que la exposición de CURP y RFC eleva el riesgo de suplantación de identidad. En consecuencia, facilita fraudes financieros y ataques de ingeniería social. Además, puede violar la Ley Federal de Protección de Datos Personales. En conjunto, el cruce de números telefónicos con datos fiscales impulsa esquemas de fraude más complejos.
En el plano individual, la ausencia de un mecanismo oficial genera incertidumbre entre los usuarios. Por un lado, los clientes no pueden confirmar si terceros consultaron su información. Por otro, la falta de claridad impide medir los daños potenciales. Así, también complica la adopción de medidas preventivas oportunas.
Respuesta de Telcel y un contexto de ciberataques crecientes
Telcel emitió un comunicado el 10 de enero de 2026. En él, reconoció las denuncias, pero negó una filtración generalizada. Aun así, la empresa sostuvo que cada usuario accede solo a su información mediante un código único por SMS. Además, afirmó que incorporó medidas de seguridad adicionales. Sin embargo, no detalló correcciones técnicas ni detuvo el funcionamiento del portal. En paralelo, la Comisión Reguladora de Telecomunicaciones atribuyó las fallas iniciales al alto flujo de usuarios.
Al 11 de enero de 2026, ninguna autoridad anunció investigaciones formales ni sanciones. Mientras tanto, el proceso de registro continuó activo con fecha límite a finales de junio. En un marco más amplio, el caso se suma a una tendencia preocupante en México. En los últimos años, se registran filtraciones y ataques de gran escala. De manera simultánea, estos hechos afectan a sectores gubernamentales, financieros y de telecomunicaciones. Por último, coinciden con el aumento de fraudes digitales, ransomware y suplantaciones mediante inteligencia artificial.
