El nuevo esquema de identificación obligatoria de líneas móviles en México expone a los operadores a multas de hasta 6% de sus ingresos si fallan en la protección de los datos personales de los usuarios o en el cumplimiento de sus obligaciones de seguridad. Así lo advirtió Alicia Trejo, gerente cyberlegal de IQSEC, firma especializada en ciberseguridad e identidad digital.
De acuerdo con la especialista, aunque la medida busca reducir el anonimato en el uso de tarjetas SIM, su implementación implica retos técnicos, operativos y de inversión para los proveedores de servicios, ya que se debe cumplir con la normativa sin almacenar datos biométricos y garantizar procesos de validación de identidad suficientemente robustos para evitar riesgos de suplantación.
El marco legal deriva de la reforma a la Ley Federal de Telecomunicaciones y Radiodifusión publicada en julio de 2025 y de los lineamientos emitidos el 9 de diciembre por la Comisión Reguladora de Telecomunicaciones (CRT).
Bajo este esquema, los operadores ya no podrán activar ni mantener líneas móviles sin vincularlas a una identidad validada, una obligación que impacta directamente al segmento prepago, que concentra más del 84% de las líneas móviles en México.
Multas y sanciones: el costo del incumplimiento
La ley contempla multas de entre 0,01 % y 6% de los ingresos del concesionario, dependiendo del tipo de incumplimiento:
- Hasta 3% de los ingresos por violaciones a la ley o a los lineamientos.
- Hasta 4% por no colaborar con autoridades de seguridad y procuración de justicia.
- Hasta 6% por fallas en la protección de la confidencialidad y la privacidad de las comunicaciones.
A esto se suman las sanciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que pueden alcanzar hasta 37,5 millones de pesos, así como posibles responsabilidades penales, detalló Trejo.
Además, añadió que el Código Penal Federal contempla penas de tres a ocho años de prisión por obstaculizar o retrasar sin causa justificada la colaboración en procesos de geolocalización o investigación judicial.
Cumplir sin guardar biométricos
Uno de los puntos centrales del nuevo marco normativo, explicó Trejo, es que los operadores no están autorizados a resguardar datos biométricos, copias de identificaciones oficiales ni fotografías de los usuarios, aun cuando deban realizar procesos de validación de identidad para activar o mantener una línea móvil.
De acuerdo con IQSEC, el cumplimiento de esta obligación es viable mediante esquemas de verificación remota que utilicen fuentes oficiales de confianza y conserven únicamente evidencias digitales como respuestas firmadas electrónicamente y selladas en tiempo real por las propias bases de datos gubernamentales.
Un ejemplo es el servicio de verificación del Instituto Nacional Electoral (INE), que no entrega biométricos ni imágenes, sino una respuesta de confirmación con validez jurídica.
“En estos modelos, los biométricos se usan solo para validar en una base oficial y lo único que se resguarda es la respuesta —firmada electrónicamente— que confirma si la identidad corresponde o no. Es exactamente como opera el INE: el operador nunca ve ni guarda los datos biométricos”, explicó Trejo.
Advirtió que una validación limitada a la consulta de CURP y una prueba de vida básica —sin verificación de autenticidad del documento ni controles contra manipulación— incrementa la probabilidad de suplantación de identidad.
“Una prueba de vida sin estándares internacionales no es suficiente. Hoy es posible suplantar a una persona con una fotografía de alta resolución o un video generado por IA si no existen controles antifraude adecuados”, alertó la especialista.
En este contexto, Trejo subrayó que, si bien el esquema busca reducir delitos como extorsión, fraude y uso de líneas anónimas, también abre un riesgo relevante para los usuarios: ser vinculados a una línea telefónica utilizada para cometer un delito que no registraron.
Dicha cuestión adquiere especial gravedad si se considera que las líneas móviles pueden utilizarse como evidencia en investigaciones penales.
IQSEC también advirtió que, a diferencia del sistema financiero —donde existen niveles de validación reforzada con biométricos contrastados en bases de datos nacionales para cuentas de mayor riesgo—, el modelo de telecomunicaciones podría quedar expuesto si los operadores no adoptan controles robustos de identidad digital, aun cuando la ley les prohíba almacenar biométricos.
Por ello, la firma recomendó el uso de pruebas de vida certificadas bajo estándares internacionales, como ISO 30107, así como mecanismos antifraude diseñados específicamente para detectar ataques de suplantación, documentos falsificados y contenidos generados por inteligencia artificial.
Una inversión inevitable para los operadores
Más allá del cumplimiento legal, el nuevo esquema obliga a los operadores y OMVs a realizar inversiones en plataformas de gestión, sistemas de seguridad de la información, cifrado de datos, monitoreo continuo y gobernanza de proveedores tecnológicos.
IQSEC subrayó que la superficie de ataque crece de forma significativa con la concentración de millones de registros y con el acceso que tendrán las autoridades a esta información. Por ello, recomendó adoptar enfoques “Zero Trust”, controles de acceso privilegiado, auditorías permanentes y centros de monitoreo de incidentes apoyados en inteligencia artificial.
“El cumplimiento no es solo activar una plataforma, sino diseñar, operar y auditar un ecosistema seguro”, señaló Trejo, quien añadió que una implementación deficiente no solo expone a sanciones económicas, sino también a pérdidas de confianza por parte de los usuarios.
La imagen principal fue creada por Mobile Time con IA.
