La Suprema Corte de Justicia de la Nación (SCJN), máximo tribunal constitucional de México, estableció nuevos criterios sobre la responsabilidad de las empresas de telecomunicaciones frente a fraudes como el SIM swapping, al resolver dos amparos relacionados con la vulneración de la privacidad de una usuaria de telefonía móvil.
El caso se remonta a 2019, cuando una persona obtuvo de manera indebida un duplicado de la tarjeta SIM de la víctima, lo que le permitió tomar el control de su número telefónico, acceder a cuentas digitales —incluidos servicios bancarios y correos electrónicos— y difundir imágenes de contenido íntimo.
En los amparos directos 25/2024 y 26/2024 interpuestos por la usuaria víctima de suplantación de identidad y la empresa de telefonía, respectivamente. No obstante, en la sentencia la identidad de la empresa demandada no se hace pública, solo se nombra como una “sociedad de responsabilidad limitada de capital variable”.
¿Cómo fue el caso de SIM Swapping?
De acuerdo con los expedientes analizados por la Suprema Corte de Justicia de la Nación (SCJN), el caso se desarrolló entre dos entidades: la Ciudad de México y Chihuahua.
La usuaria afectada contrató y gestionó su servicio de telefonía móvil en la Ciudad de México, donde también acudió posteriormente a un centro de atención al cliente para reportar irregularidades en su línea.
Sin embargo, los registros de la empresa indicaron que la solicitud de reemplazo de la tarjeta SIM —que permitió la suplantación de identidad— no se realizó en esa ciudad, sino en el estado de Chihuahua, al norte del país. Según consta en el expediente, el trámite fue efectuado el 19 de mayo de 2019, desde un punto de atención ubicado de la ciudad.
Esta discrepancia geográfica fue uno de los elementos considerados en el análisis del caso, al evidenciar que la reposición de la SIM se llevó a cabo sin que la titular de la línea se encontrara en el lugar donde se realizó el trámite, lo que reforzó los indicios de una validación deficiente por parte de la empresa.
Responsabilidad por negligencia en reposición de SIM
En el amparo directo 25/2024, emitido por la empresa telefónica, la SCJN le negó la protección solicitada y confirmó su responsabilidad civil por negligencia al no verificar adecuadamente la identidad de quien solicitó el reemplazo de la tarjeta SIM.
El Pleno determinó que, si bien no existe una regulación que detalle cada paso del proceso, las concesionarias están obligadas a implementar mecanismos robustos para proteger los datos personales de sus usuarios.
En este caso, la empresa no pudo acreditar qué documentos se presentaron ni qué validaciones se realizaron. La Corte concluyó que esta omisión fue el origen directo de la vulneración a la privacidad de la usuaria, al permitir que un tercero accediera a su línea y a la información asociada.
Suprema Corte estableció medidas mínimas de protección
El fallo establece que las empresas de telecomunicaciones deben cumplir con un estándar más estricto en sus procesos, dado que el número telefónico se ha convertido en un elemento central de la identidad digital.
En este sentido, deberán aplicar medidas como: verificación de identidad con documentos oficiales, cotejo de información con los registros del usuario, aplicación de controles adicionales de seguridad y documentación del proceso de reposición
El tribunal subrayó que no basta con afirmar que se siguieron protocolos, sino que las compañías deben poder acreditarlo.
Daño moral y perspectiva de género
Al resolver el amparo directo 26/2024, el máximo tribunal concedió la protección a la víctima al considerar que la autoridad responsable no analizó el caso con perspectiva de género.
La SCJN reconoció la existencia de daño moral derivado de la pérdida de control de la línea y la difusión de imágenes de contenido íntimo. También precisó que la empresa no es responsable directa de la publicación de las imágenes, sino de haber generado la condición que permitió el acceso indebido.
Asimismo, ordenó emitir una nueva resolución para recalcular la indemnización, considerando la gravedad del daño y evitando enfoques revictimizantes.
Durante el análisis, el Pleno también cuestionó expresiones utilizadas por la defensa de la empresa, al considerar que reproducían estereotipos de género y trasladaban responsabilidad a la víctima por su vida privada.
Durante el juicio, la empresa telefónica intentó deslindar responsabilidades argumentando que la usuaria había sido negligente. De acuerdo con su amparo, señaló que fue ella quien decidió vincular su número telefónico a sus cuentas digitales, quien generó y almacenó las fotografías íntimas que después fueron difundidas, y quien tardó en reaccionar para bloquear los accesos no autorizados.
En esencia, la compañía trasladó a la víctima la culpa por los hechos, sugiriendo que si no hubiera tomado o guardado ese tipo de imágenes, el daño no se habría producido.
La Suprema Corte rechazó esta postura al considerar que estos argumentos reproducían estereotipos de género y constituían una forma de revictimización. La sentencia subrayó que el hecho de que una mujer genere o almacene imágenes de carácter íntimo no la hace responsable de que un tercero, aprovechando una falla de seguridad de la empresa, acceda a ellas y las difunda sin su consentimiento.
Para la Corte, lo relevante no era el contenido que la usuaria guardaba en sus cuentas, sino que la empresa falló en su deber más básico: verificar la identidad de quien solicitó el reemplazo de la SIM. Esa negligencia, y no la vida privada de la víctima, fue el origen del daño.
Alcances del fallo
La resolución también retoma información del Instituto Federal de Telecomunicaciones (IFT) para contextualizar la incidencia del SIM swapping en el país, aunque sin vincular esos datos con el caso concreto.
Datos del exregulador indican que este tipo de fraude ha sido reportado de forma constante. A través del portal “Soy Usuario”, se registraron 17 casos en 2023 y 19 en 2024, con una alta concentración de quejas en dos operadores: Movistar y Bait, que en conjunto representaron cerca del 78% de los reportes.
No obstante, otras fuentes sugieren que la suplantación de identidad vinculada al uso de líneas móviles tiene un alcance mayor. La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) reportó haber recibido entre 2.300 y 6.500 reclamaciones anuales por posibles casos de robo de identidad entre 2019 y 2022.
Por su parte, la Comisión Nacional Bancaria y de Valores (CNBV) reportó 2.036 reclamaciones bancarias por este motivo solo en el primer trimestre de 2023. A su vez, la Guardia Nacional documentó más de 900 incidentes anuales de suplantación entre 2021 y 2023.
Pese a ello, aún no existe un tipo penal específico para el SIM swapping en México, lo que dificulta su identificación y sanción en el ámbito legal.
Con este fallo, la SCJN busca establecer un precedente sobre la corresponsabilidad de los operadores móviles en la protección de datos personales y la seguridad digital de sus usuarios, así como sobre la obligación de juzgar con perspectiva de género en casos de violencia digital.
Al respecto, el tribunal subrayó que el número telefónico constituye un dato personal, por lo que las concesionarias tienen la obligación de protegerlo con el mismo estándar que cualquier otra información sensible.
La imagen principal fue creada por Mobile Time con IA.


