El inicio del registro obligatorio de líneas móviles en México, vigente desde el 9 de enero de 2026, ha estado marcado por fallas técnicas, debilidades en el diseño regulatorio y crecientes alertas sobre la protección de datos personales y los derechos digitales.
La medida, derivada de la reforma a la Ley en Materia de Telecomunicaciones y Radiodifusión aprobada en junio de 2025, obliga a las personas usuarias a vincular su número telefónico con su Clave Única de Registro de Población (CURP) antes del 28 de junio de 2026.
A partir de ese día las líneas no registradas podrán ser suspendidas, dejando al usuario incomunicado no solo en llamadas de voz, sino en el acceso a datos móviles, lo cual hoy impacta directamente en la economía digital y el trabajo remoto.
Aunque el padrón fue presentado por la autoridad como una herramienta para combatir delitos como la extorsión y el secuestro virtual, su implementación temprana ha dejado al descubierto problemas que van más allá de incidentes aislados.
Arranque bajo presión y plataformas sin madurar
Desde los primeros días, los operadores enfrentaron intermitencias y saturación en sus plataformas debido al alto volumen de usuarios que intentaron completar el trámite de manera simultánea.
Sin embargo, recientemente el foco de la atención se concentró en Telcel, el operador con la mayor base de clientes del país, luego de que se documentaran vulnerabilidades en su plataforma de registro remoto.
De acuerdo con reportes difundidos por medios locales y especialistas en ciberseguridad, una falla de configuración permitió durante varias horas la consulta de datos personales asociados a líneas móviles, como nombre, CURP, RFC y correo electrónico, sin mecanismos robustos de autenticación.
Xataka informó que la debilidad técnica habría permitido, incluso, la automatización de consultas a partir de bases de números previamente filtradas. Por otro lado, Elizabeth Álvarez, especialista en ciberseguridad, el verdadero riesgo de la vulnerabilidad yacía en que dentro de las herramientas para el desarrollador se detallan aspectos como: la estructuración de ID de clientes, qué campos espera el backend, detalles de procesos internos, etc. que permitirían ataques sofisticados.
Al respecto, Telcel negó que se tratara de una filtración masiva y sostuvo que el incidente correspondió a un error técnico ya corregido, además de atribuir los problemas iniciales a la saturación del sistema.
Por su parte, la Comisión Reguladora de Telecomunicaciones (CRT) explicó las fallas como resultado del alto flujo de usuarios, sin anunciar investigaciones específicas sobre la exposición de datos reportada.
A estos señalamientos se sumó la detección de una segunda vulnerabilidad, también documentada públicamente, relacionada con el uso indebido de la infraestructura de mensajería del operador.
El periodista Ignacio Gómez Villaseñor informó a través de su cuenta de X que un especialista en ciberseguridad identificó una falla que permitiría el envío masivo de mensajes SMS sin límites efectivos, habilitando ataques de SMS bombing sin que el sistema activara alertas o bloqueos.
Captura de pantalla @ivillasenor
Al respecto, diversos especialistas detallaron que este tipo de debilidades no solo representan un riesgo para los usuarios, sino también para la integridad de la red y los costos operativos, al permitir abusos sistemáticos de infraestructura crítica.
Existen vacíos regulatorios y asimetrías en el diseño del padrón
Los lineamientos del registro establecen que una persona física puede registrar hasta 10 líneas móviles por CURP, incluyendo prepago, pospago, líneas físicas y eSIM. En contraste, las personas morales y las personas físicas con actividad empresarial no tienen un límite explícito, siempre que presenten RFC y constancia de situación fiscal.
Esta asimetría abre la puerta a la activación masiva de líneas bajo esquemas legales, con riesgos de reventa y uso indebido, especialmente en ausencia de mecanismos adicionales de verificación y supervisión.
Analistas también han alertado que el padrón podría incentivar un mercado informal de líneas móviles, particularmente entre personas que no cuentan con identificación vigente o documentación completa, de acuerdo con una entrevista realizada por El Financiero a Sergio Legorreta, abogado especializado en telecomunicaciones.
En este escenario, detallaron que podrían proliferar líneas “listas para usarse” vendidas por terceros, debilitando el objetivo de trazabilidad del registro.
Este riesgo resulta especialmente relevante en un contexto donde la extorsión telefónica cerró 2025 en niveles históricamente altos; entre enero y noviembre de 2025 en México hubo 10.322 víctimas de extorsión, de acuerdo con los últimos datos del Secretariado Ejecutivo del Sistema Nacional de Seguridad Pública (SESNSP). Se trata de la cifra más alta desde 2015 .
R3D alerta por derechos digitales y vigilancia
Desde la sociedad civil, R3D: Red en Defensa de los Derechos Digitales advirtió que el registro obligatorio arranca sin salvaguardas suficientes contra abusos.
La organización recordó que asociaciones internacionales del sector, como la GSMA, han señalado que no existe evidencia concluyente de que los registros obligatorios de líneas móviles reduzcan delitos como la extorsión; por el contrario, pueden incentivar prácticas como robo de celulares, clonación de SIMs o contrabando.
R3D también alertó que estas bases de datos se convierten en objetivos de alto valor para la ciberdelincuencia, como lo evidenciaron las vulnerabilidades detectadas en el arranque del registro.
Además, advirtió sobre los riesgos de acceso amplio por parte de autoridades, especialmente en un contexto normativo que permite el cruce de bases de datos públicas y privadas sin controles claros ni obligaciones de transparencia.
La organización subrayó que este esquema puede derivar en prácticas de vigilancia indebida y tener efectos desproporcionados sobre poblaciones en situación de vulnerabilidad, como personas migrantes o en tránsito que no cuentan con CURP o documentación oficial, condicionando su acceso a un servicio esencial como la telefonía móvil.
Más allá de los problemas operativos, la implementación del registro obligatorio de líneas móviles también ha abierto un frente legal poco abordado por la autoridad: el de la protección de datos personales y los derechos digitales de los usuarios.
Aunque en México no existe una figura única denominada Habeas Data, este derecho se encuentra reconocido de forma fragmentada en la Constitución y en la legislación secundaria.
Sheinbaum defiende registro obligatorio de líneas móviles
La presidenta Claudia Sheinbaum defendió este martes el registro obligatorio de líneas móviles y aseguró que cualquier vulneración de datos personales es responsabilidad de las empresas telefónicas, no del gobierno federal. Además reiteró que forma parte de la estrategia para combatir fraudes y extorsiones.
La mandataria detalló que el registro se realiza directamente con las compañías de telefonía móvil y que la información permanece bajo resguardo de estas empresas.
“Las personas se registran en la telefónica y, si hay un delito, las áreas de seguridad o de procuración de justicia solicitan a la empresa la información del número desde el que se cometió el ilícito”, señaló, y añadió que el acceso a los datos sólo ocurre en el marco de una investigación formal y no implica vigilancia generalizada sobre la población.
La imagen principal fue creada por Mobile Time con IA.
