El nuevo esquema de identificación obligatoria de líneas móviles en México ha reactivado el debate sobre seguridad, protección de datos personales y riesgos de suplantación de identidad en el ecosistema de telecomunicaciones.
El gobierno federal sostiene que no se trata de un padrón centralizado y que el objetivo es reducir el anonimato en el uso de líneas telefónicas, especialistas advierten que la efectividad del modelo dependerá menos de la norma y más de cómo cada operador implemente sus controles técnicos y de ciberseguridad.
Desde la perspectiva de IQSEC, firma especializada en identidad digital y ciberseguridad, la validación de identidad, la minimización de datos sensibles y la correcta gestión de riesgos se vuelven elementos críticos, sobre todo en un contexto en que ha aumentado el fraude digital, uso de deepfakes y de delitos como el SIM Swapping.
En entrevista con Mobile Time Latinoamérica, Alicia Trejo, Gerente Cyberlegal de IQSEC, analizó los principales retos técnicos y operativos que enfrentan operadores y OMVs ante la entrada en vigor de los nuevos lineamientos.
Mobile Time Latinoamérica: En un modelo donde cada operador desarrolla o adopta su propia plataforma de registro, ¿la coexistencia de múltiples sistemas incrementa la superficie de ataque y los riesgos de ciberseguridad frente a un esquema más estandarizado?
Ahora bien, un modelo centralizado tampoco es garantía, ya que concentra el riesgo y un solo impacto podría afectar a millones. Lo relevante es que cada proveedor realice un análisis de riesgos e implemente una estrategia integral; no hacerlo derivará en incumplimientos legales y una mayor exposición de los usuarios al fraude.
Con la obligación de validar contra fuentes oficiales, ¿qué tan preparados están los sistemas actuales para detectar deepfakes o fraudes de identidad durante el registro digital remoto?
La efectividad depende totalmente de los controles de cada operador. En verificación de identidad se puede tener la mejor tecnología, pero sin procesos robustos de comunicación y personal especializado, la herramienta se queda corta.
Por ejemplo, validar una CURP o RFC resuelve la integridad del dato, pero no garantiza que la persona frente a la cámara sea quien dice ser. Los sistemas estarán preparados solo si incorporan pruebas de vida con estándares internacionales capaces de resistir ataques sintéticos (deepfakes) y ejecutan validaciones estrictas contra fuentes oficiales.
Los lineamientos piden «mínima retención de datos sensibles». ¿Cómo pueden los operadores asegurar que cumplen con la ley sin comprometer la capacidad de las autoridades para investigar delitos en el futuro?
La clave es distinguir entre minimizar y no registrar. El marco normativo busca que los proveedores no acumulen información excesiva (como copias de identificación o biométricos), pero que sí mantengan lo estrictamente necesario para operar y atender requerimientos legales.
Si los proveedores cumplen con la verificación conforme a los lineamientos, cumplen la norma; sin embargo, la confiabilidad de esa información para la autoridad dependerá siempre de qué tan robustos sean los controles antifraude que el operador decidió implementar.
Muchos bancos y servicios usan el SMS como segundo factor de autenticación. ¿Este nuevo registro fortalece la seguridad bancaria y previene el SIM Swapping (clonación de chips)?
El registro reduce el anonimato, pero no necesariamente crea una identidad digital robusta, ya que no obliga a una verificación biométrica. Por sí solo, no convierte al SMS en un factor seguro por definición.
No obstante, puede tener un efecto indirecto positivo frente al SIM Swapping: si el ecosistema eleva la certeza sobre quién puede gestionar trámites como la reposición de una SIM o cambio de titular, se vuelve mucho más difícil ejecutar el secuestro de la línea para interceptar códigos bancarios. El factor decisivo seguirá siendo la robustez de los controles de cada operador.
¿Es posible implementar una validación biométrica de alta calidad en operadores de bajo costo (OMV) sin que esto se traslade directamente al precio final del usuario?
En México no existe una obligación general de validar biométricos. Si un operador decide incorporarlos como capa adicional, puede hacerlo de forma eficiente sin resguardar el dato sensible, conservando solo el resultado de la verificación.
Más que un costo, esto debe verse como una inversión: un incidente por suplantación suele generar impactos económicos y reputacionales muy superiores a la inversión preventiva. El precio final es una decisión de negocio, pero no debe perderse de vista el deber legal de proteger los datos personales.
Si un usuario se porta de una compañía a otra, ¿Qué protocolos de ciberseguridad deben seguirse para que la «identidad» de esa línea no se pierda o se duplique erróneamente?
Actualmente, los lineamientos no regulan este supuesto de forma expresa; es un tema que deberá detallarse conforme el modelo madure. En principio, se parte de que la identidad ya fue verificada por un proveedor y no debería haber un doble deber de verificación al cambiar de compañía.
Sin embargo, lo esencial es asegurar que, durante la portabilidad, la línea permanezca vinculada a la persona correcta, garantizando que no existan duplicidades ni pérdida de trazabilidad en la información
La imagen principal fue creada por Mobile Time con IA.
