La implementación del registro obligatorio de líneas móviles en México ha generado una profunda controversia. Tras la entrada en vigor del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT) el 9 de enero de 2026, Telcel fue objeto de denuncias por una supuesta vulnerabilidad que habría dejado expuesta información sensible de millones de clientes, levantando alertas sobre la protección de su seguridad digital.
El origen de la controversia: la obligación del registro telefónico
La polémica surge directamente de la aprobación del Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT), una medida impulsada por el gobierno mexicano que entró en vigor el 9 de enero de 2026. Este padrón tiene como objetivo vincular cada línea telefónica, tanto prepago como pospago, con la identidad real de su titular.
El propósito oficial de este registro es eliminar el anonimato en las líneas móviles para combatir delitos como:
- Extorsiones.
- Fraudes.
- Suplantación de identidad.
El proceso implica el registro individual por línea y requiere la presentación de una identificación oficial con fotografía y la Clave Única de Registro de Población (CURP). Además, el registro contempla la verificación biométrica, incluyendo la toma de huella digital y fotografía facial. Aplica tanto para personas físicas como para personas morales, sin importar si la línea es física, eSIM o prepago.
La urgencia de los plazos y las vías de registro
Según la información disponible, las fechas límite para cumplir con el PANAUT son estrictas:
- Líneas nuevas: Si la línea fue contratada a partir del 9 de enero de 2026, el registro debe realizarse de forma inmediata al momento de la activación.
- Líneas preexistentes: El plazo máximo para completar el trámite es el 30 de junio de 2026.
Telcel podrá suspender temporalmente las líneas que no estén registradas a partir del 1 de julio de 2026. Durante la suspensión, solo se permitirá el acceso a llamadas de emergencia y atención del operador, aunque las facturas seguirán generándose con normalidad.
La modalidad presencial, acudiendo a un Centro de Atención a Clientes con identificación vigente y CURP, es la más recomendada. Telcel también planea habilitar el registro en línea a través de su sitio web o la aplicación Mi Telcel, una opción que incluirá carga de documentos, selfie y verificación biométrica digital.
La falla crítica: exposición de CURP, RFC y datos personales
El problema de seguridad se materializó cuando usuarios y especialistas denunciaron una supuesta vulnerabilidad de “seguridad crítica” en el portal de Telcel, coincidiendo con el inicio del proceso de registro. Esta falla habría expuesto datos personales de millones de usuarios en México.
El periodista Ignacio Gómez Villaseñor, quien retomó la denuncia realizada originalmente por la cuenta de X Telefonías Unlimited (@TelefoniasU), aseguró que la vulnerabilidad permitía obtener datos sensibles sin necesidad de contraseñas ni códigos de verificación.
La exposición sin autenticación alcanzaba información crucial, dejando “al descubierto” datos como:
- La identidad.
- La CURP.
- El RFC (Registro Federal de Contribuyentes).
- El correo electrónico.
- El nombre completo.
La amenaza de la extracción masiva y el fraude
La mayor amenaza identificada residía en la capacidad de automatización del proceso, que facilitaría consultas masivas y la construcción de bases de datos ilegales. Gómez Villaseñor advirtió que “cualquier ciberdelincuente podría usar alguna de las bases de números de Telcel y automatizar la extracción masiva de información”.
Esta grave falla, que según la Fuente 2 se presentó en el sistema de registro de la Comisión Federal de Telecomunicaciones (Cofetel) y Telcel, incrementa el riesgo de fraudes masivos, suplantación de identidad, fraudes bancarios y llamadas de phishing.
Respuesta oficial y crítica al manejo de la crisis
Ante la denuncia de la supuesta exposición de datos, Telcel informó que sus plataformas de registro de líneas móviles cuentan con medidas de seguridad adicionales. La empresa emitió un comunicado oficial asegurando a sus clientes: “Tus datos están seguros”.
Telcel destacó que ha implementado medidas de seguridad adicionales al proceso de registro, y que «Cada usuario recibe un código único por SMS para acceder únicamente a su propia información y realizar la vinculación de su línea».
Por su parte, la Comisión Reguladora de Telecomunicaciones (CRT) explicó que, sin aludir directamente al caso de la vulnerabilidad, durante el inicio del proceso de registro de líneas móviles se presentaron intermitencias en las plataformas debido al alto flujo de usuarios.
El señalamiento a la ley y la falta de disculpa
Ignacio Gómez Villaseñor señaló que el problema surgió por la aprobación apresurada de la ley de registro obligatorio de líneas: “Todo esto ocurre porque decidieron aprobar una ley de forma exprés sin tomarse el tiempo necesario para que la iniciativa privada, sociedad y gobierno estuviesen preparados. Se les advirtió que el riesgo era enorme y no quisieron escuchar”.
Respecto al comunicado de Telcel, Gómez Villaseñor consideró que fue “Terrible” porque la empresa no ofreció una disculpa por la exposición inicial de los datos personales de “TODOS sus clientes”. Además, advirtió sobre posibles riesgos futuros, ya que el sistema fue «arreglado a medias», lo que podría permitir «otro tipo de ataques».
Medidas y recomendaciones de seguridad
Aunque Telcel afirmó haber corregido el fallo, expertos y usuarios se mantienen alertas. La polémica sobre la seguridad del registro persiste, y se subraya la necesidad de cautela en procesos que involucran datos cruciales para la ciudadanía.
Las advertencias que circularon en redes sociales recomiendan esperar a que Telcel corrija completamente estas vulnerabilidades antes de completar el registro en línea.
Como recomendación general, conviene:
- Priorizar la vía presencial para el registro, ya que reduce riesgos al realizarse directamente con personal autorizado.
- Evitar enlaces no oficiales o sitios sospechosos.
- No compartir datos sensibles en redes.
- Mantenerse atento a comunicados formales del operador.
La implementación del PANAUT buscaba combatir el fraude, pero la propia ejecución ha creado un nuevo vector de riesgo masivo, demostrando que la prisa legislativa y la falta de infraestructura de seguridad pueden ser más peligrosas que el anonimato que se intentaba eliminar. Este patrón revela una tendencia preocupante en la era digital: ¿quién garantiza que, al centralizar millones de datos sensibles bajo la promesa de seguridad, no se están construyendo precisamente las bases de datos más atractivas para los ciberdelincuentes?
