La empresa de telecomunicaciones Telcel negó la existencia de una filtración masiva de datos personales de sus usuarios, luego de que se detectara una vulnerabilidad de ciberseguridad en el portal de registro obligatorio de líneas móviles, situación que ya es analizada por distintas autoridades federales.

El incidente fue detectado el 9 de enero, en los primeros días de operación del padrón de telefonía móvil. Durante varias horas, el sistema permitía consultar información sensible ingresando únicamente un número telefónico, sin requerir autenticación robusta como contraseñas, tokens o códigos de verificación por mensaje SMS.

Entre los datos que podían visualizarse se encontraban el nombre completo del titular, CURP, RFC y correo electrónico, lo que generó preocupación entre especialistas en protección de datos y encendió alertas sobre la seguridad de los sistemas tecnológicos delegados a las empresas de telecomunicaciones.

Telcel rechaza filtración, pero reconoce vulnerabilidad

En un posicionamiento oficial, Telcel —empresa perteneciente al conglomerado del empresario Carlos Slim— aseguró que no existió extracción indebida de bases de datos ni una filtración masiva de información personal. La compañía sostuvo que los datos de sus usuarios siempre estuvieron protegidos y que el problema se limitó a una vulnerabilidad técnica temporal.

No obstante, la empresa reconoció que sí existió una falla en el sistema, la cual fue atribuida a un error de configuración y, según indicó, fue corregida de manera inmediata por su equipo especializado en ciberseguridad.

A pesar de esta aclaración, expertos subrayan que la simple exposición de datos sensibles, aunque haya sido temporal y sin evidencia de extracción, ya constituye un riesgo significativo y plantea cuestionamientos sobre la responsabilidad de las empresas que administran plataformas de uso obligatorio.

Investigación y posibles sanciones

El caso podría ser analizado bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que obliga a las empresas a implementar medidas de seguridad administrativas, técnicas y físicas para proteger la información sensible.

De comprobarse negligencia, Telcel podría enfrentar sanciones administrativas que van desde cientos de miles hasta millones de pesos, e incluso multas de hasta 320 mil UMAs cuando se trata de datos sensibles. Además, no se descarta la posibilidad de acciones civiles por parte de usuarios afectados.

Entre las autoridades con competencia para investigar el caso se encuentran la Secretaría Anticorrupción y Buen Gobierno, la Comisión Reguladora de Telecomunicaciones y, en escenarios más graves, la Fiscalía General de la República.

Vacíos legales en ciberseguridad

Especialistas advierten que este incidente vuelve a evidenciar las limitaciones del marco legal mexicano en materia de ciberseguridad. Aunque existen disposiciones generales, México carece de una Ley General de Ciberseguridad, lo que dificulta establecer obligaciones claras como la notificación obligatoria de brechas, auditorías periódicas o sanciones específicas por negligencia digital.

Actualmente, el país acumula más de ocho años de rezago legislativo en esta materia, lo que deja expuestos a millones de usuarios cuyos datos dependen de sistemas tecnológicos privados.

Datos clave del incidente

• La vulnerabilidad permitía consultar datos solo con un número telefónico
• Ocurrió durante el arranque del padrón obligatorio de telefonía móvil
• Los datos visibles incluían CURP, RFC y correo electrónico
• México no cuenta con una Ley General de Ciberseguridad

El caso Telcel abre un debate urgente sobre la protección de datos personales, la responsabilidad empresarial y la necesidad de fortalecer el marco legal frente a los riesgos crecientes del entorno digital.