La Secretaría Anticorrupción y Buen Gobierno (SABG) inició una investigación contra Telcel por una vulnerabilidad detectada en su portal de registro obligatorio de líneas celulares, puesta en marcha tras la nueva ley de registro de líneas que empezó a operar el 9 de enero de 2026. Informes de especialistas y divulgadores técnicos señalaron que el sistema permitía consultar datos personales sin controles de autenticación adecuados.
La falla se reportó dos días después del inicio del registro. Al proporcionar determinados datos asociados a una línea era posible acceder a información sensible sin requerir códigos de verificación ni autenticación de dos factores, lo que expuso nombres, CURP, RFC y correos electrónicos, entre otros campos.
Telcel reconoció la existencia de la vulnerabilidad, afirmó haberla corregido y comenzó a usar códigos SMS únicos como medida adicional. La empresa sostiene que no hay indicios de una extracción masiva de datos, pero la autoridad mantiene la pesquisa para determinar alcance, causas y responsabilidades técnicas.
Desde el punto de vista técnico, la incidencia sugiere deficiencias en controles de acceso, validación de entradas, gestión de sesiones y protección contra enumeración o scrapping de endpoints. La SABG advirtió además sobre riesgos asociados al uso de sistemas de gestión de contenidos (CMS) de licencia libre con plantillas y complementos genéricos, cuya configuración y mantenimiento inadecuados facilitan explotaciones.
El impacto operativo y de seguridad es amplio: a nivel usuario eleva el riesgo de robo de identidad, fraude y suplantación; a nivel de operador supone exposición legal, reputacional y de continuidad de servicio; a nivel nacional afecta un universo estimado de 130 millones de líneas activas, con Telcel concentrando cerca de 60 millones de usuarios, lo que magnifica el potencial daño por una falla sistémica.
La investigación forma parte de más de veinte indagatorias por presuntas vulneraciones a datos personales en plataformas públicas y privadas. La SABG anticipa propuestas de reforma al marco legal de protección de datos para actualizar sanciones y obligaciones, y advierte que podrían derivarse sanciones administrativas o incluso penales según los resultados.
Utilidad práctica de esta información: sirve para que operadores revisen y fortalezcan sus controles técnicos y de cumplimiento; para reguladores, como insumo para priorizar auditorías y cambios normativos; y para usuarios, como llamado a monitorear actividades sospechosas en sus cuentas y comunicaciones.
Recomendaciones técnicas inmediatas (resumen práctico): implementar autenticación fuerte y multifactor para consultas sensibles; aplicar rate limiting y protección contra enumeración de identificadores; validar y sanitizar entradas en el servidor; habilitar registros de auditoría y detección de anomalías; cifrar datos sensibles en tránsito y en reposo; gestionar parches y dependencias de CMS con políticas formales; y establecer un programa de divulgación responsable y respuesta a incidentes con notificación a afectados.
