La brecha de ciberseguridad detectada el en el padrón de telefonía móvil de Telcel expuso por horas datos sensibles como nombre, CURP y RFC; el caso ya está siendo investigado por autoridades regulatorias.
Puntos clave
- La falla en el portal del padrón permitió acceder a datos con solo un número telefónico.
- Telcel atribuyó el incidente a un “error técnico” y afirma haberlo corregido.
- Investigaciones regulatorias están en curso; no se han impuesto sanciones formales.
- Especialistas señalan posible responsabilidad bajo la Ley Federal de Protección de Datos.
Investigación regulatoria sobre Telcel
Autoridades regulatorias iniciaron pesquisas después de que el portal de registro obligatorio presentara la vulnerabilidad. Hasta ahora las indagatorias se limitan a revisiones técnicas y administrativas, sin anuncios públicos de sanciones.
Telcel afirmó que la falla fue solucionada de manera inmediata por su personal y negó una filtración masiva de datos. La empresa sostuvo que la información permaneció protegida, aunque reconoció la existencia del fallo.
“Telcel podría ser objeto de sanciones por la brecha de ciberseguridad detectada a inicios de enero de 2026 en su portal de registro obligatorio de líneas móviles; sin embargo, no creo los sancionen porque es algo que el gobierno delegó a las telefónicas, pero en México existen marcos legales para sancionar este tipo de conductas.”
— Víctor Ruiz, CEO de Silikn
Las autoridades mencionadas por especialistas incluyen:
- Secretaría Anticorrupción y Buen Gobierno
- Comisión Reguladora de Telecomunicaciones
- Fiscalía General de la República (en casos de mayor gravedad)
Datos expuestos en el padrón de telefonía móvil
El incidente, registrado el , permitió consultar durante varias horas información personal sensible al introducir únicamente un número telefónico. Entre los campos accesibles estaban nombre completo, CURP, RFC y correo electrónico.
La falla no requería autenticación robusta —como contraseñas o códigos SMS— lo que facilitó el acceso no autorizado. El registro corresponde al padrón de telefonía móvil implementado tras el arranque del proceso de registro obligatorio.
Posibles sanciones y marco legal aplicable
Especialistas señalaron que el caso puede analizarse bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que obliga a implementar salvaguardas efectivas. La normativa contempla sanciones administrativas que van desde multas hasta montos equivalentes a cientos de miles de pesos.
En situaciones que involucren información sensible, la ley permite multas de hasta 320,000 UMAs y también prevé la posibilidad de acciones civiles por parte de usuarios afectados. Expertos advirtieron que la ausencia de una ley específica de ciberseguridad complica la imposición de sanciones más claras; la iniciativa lleva más de ocho años de retraso en el Congreso.
