Alejandro De la Garza
“La puesta en marcha del padrón de telefonía se vio empañada por fallas técnicas y reportes de vulnerabilidades”.
El sino del escorpión, como el de tantos, ha padecido hackeos e intentos de fraude digital y extorsión telefónica; cibercrímenes proliferantes que provocan dudas y resistencia en la gayola ante el mandato gubernamental de registrar las líneas telefónicas móviles mediante una identificación y la CURP, y, aún peor, la exigencia misma de incluir datos vitales: huellas digitales, reconocimiento facial y registro del iris ocular para obtener una nueva Clave Única de Registro de Población. ¿Toda esta información trascendental debemos ponerla a disposición de un Estado con infraestructuras digitales frágiles, incapacidad operativa probada y una respuesta fragmentada y sin transparencia ante el cibercrimen?
La obligación de registrar líneas móviles en México para formar un nuevo Padrón de Telefonía Móvil, pospuesta del 31 de diciembre de 2025 hasta el 30 de junio de 2026, y de llevar a cabo este registro mediante una identificación oficial y la CURP vigente, llegó envuelta en buenas intenciones: será útil, se insistió, para rastrear extorsiones, cortar redes de fraude y poner orden en un mercado donde el anonimato facilita delitos. Pero esta promesa de seguridad choca con una obvia crisis de confianza tras múltiples hackeos a páginas gubernamentales y fallas técnicas en la misma página de registro de telefonía Telcel. Las autoridades necean en los beneficios del proceso mientras millones de usuarios temen perder su servicio y las empresas de telefonía enfrentan riesgos legales y pérdidas multimillonarias.
La infraestructura digital del gobierno mexicano ha mostrado en reiteradas ocasiones brechas que convierten cualquier base de datos masiva en un blanco viable para los cibercriminales. Apenas iniciado el año, diversos medios reportaron una presunta vulneración de bases de datos en variadas dependencias del gobierno mexicano, así como el hallazgo de vulnerabilidades en la página de registro telefónico de Telcel.
Los medios nacionales divulgaron la información difundida por el periodista especializado en ciberseguridad y política Ignacio Gómez Villaseñor, sobre tales presuntas vulneraciones. Una en bases de datos del Servicio de Administración Tributaria (SAT), que implicó filtraciones de al menos 120 mil facturas, datos bancarios y fiscales. En un comunicado el SAT descartó el hackeo; no obstante, medios independientes y monitoreos de la red oscura reiteraron la existencia de una oferta de venta de miles de facturas y datos fiscales, lo que extendió la alerta pública.
Otro caso tuvo que ver con la filtración de la base de datos vinculada a una plataforma de educación a distancia de la Guardia Nacional. Los datos habrían sido publicados con registros de poco más de 24 mil elementos de la Guardia Nacional, incluyendo identificaciones, correos electrónicos, CURP, matrícula, grado, cargo y adscripción. La institución no dijo ni pío.
La única dependencia que emitió un extenso comunicado fue la Secretaría de Anticorrupción y Buen Gobierno (SABG), que identificó la vulneración de bases de datos personales pertenecientes a diversas instituciones públicas. El periodista Gómez Villaseñor detalló que otras entidades habían sido afectadas, entre ellas: el IMSS-Bienestar, los poderes judiciales y oficinas de Hacienda de Sonora y Querétaro, el Tribunal de Justicia Administrativa de la capital, la Secretaría de Educación de Tabasco y las secretarías de Salud de Sinaloa y Tlaxcala.
Destacó la mención de un hackeo en los sistemas de la UNAM, que implicó no sólo la exposición de datos personales de miles de estudiantes, sino también correos privados de varios funcionarios de alto nivel que revelan datos y negociaciones secretas. Gómez Villaseñor junto con otros expertos y desarrolladores reportaron también haber encontrado una falla en la página de Telcel. La puesta en marcha del padrón de telefonía se vio así empañada por fallas técnicas y reportes de vulnerabilidades en plataformas de registro. Usuarios que intentaron inscribirse encontraron páginas caídas, formularios que devolvían errores y, en algunos casos, indicios de accesos no autorizados a portales oficiales.
Entre la desconfianza y el enojo, algunos usuarios proponen la solución radical de negarse al registro, tomando en cuenta que a estas alturas apenas el 14 por ciento de los usuarios lo ha hecho. Esto sin duda conduciría a un conflicto serio, pues si, digamos, el 50 por ciento de los usuarios no se registra, la suspensión de esas líneas significaría una pérdida multimillonaria para las telefónicas; además, la reputación de los operadores queda en entredicho si sus plataformas son el vector de la filtración. Y de remate, el descrédito absoluto del Gobierno.
Hubo otros que propusieron soluciones intermedias, como comprar un chip de Estados Unidos, activar una eSIM internacional, usar WhatsApp exclusivamente por Wi-Fi o mantener un teléfono para mensajería y otro para llamadas, pero todas tienen límites. Para el usuario, la suspensión de una línea significa perder acceso a comunicaciones, a la banca por SMS, a notificaciones laborales y a redes sociales vinculadas al número. Para el gobierno, la masiva desobediencia o la filtración de datos implican un golpe de legitimidad. El resultado hasta hoy es una extendida crisis de confianza, una mezcla tóxica de miedo ciudadano, riesgo técnico y costos económicos que nadie parece haber calculado del todo.
Encima, la exigencia de la CURP biomédica ha abierto otro debate intenso sobre los beneficios y riesgos de incorporar huellas digitales, reconocimiento facial e iris en un documento de identidad obligatorio. El gobierno sostiene que esta innovación fortalecerá la certeza jurídica, evitará fraudes y será una herramienta crucial en la búsqueda de personas desaparecidas. Sin embargo, especialistas en ciberseguridad, académicos y organizaciones civiles advierten que el país aún no cuenta con los mecanismos suficientes para garantizar la protección de los datos biométricos de millones de ciudadanos.
Nuestro país aparece con compromisos formales en ciberseguridad, lee el alacrán en el boletín NCSI, pero con brechas importantes en implementación. En índices internacionales como el Global Cybersecurity Index (GCI), México obtuvo un puntaje alto (85.76 de 100) en 2024, indicador de un compromiso formal en marco legal, medidas técnicas y cooperación. Pero, por otra parte, en el National Cyber Security Index (NCSI), aparece en posiciones bajas (alrededor del puesto 92 de 100), lo que refleja excesiva fragilidad en instituciones y protección de infraestructura.
Cuando el Estado exige datos y no demuestra capacidad para protegerlos, hace evidente la falta de inversión, auditorías y transparencia. Sin esas garantías, los padrones, registros y bases de datos pueden convertirse en un gran archivo de información vulnerable, útil para delincuentes y para quienes busquen ejercer control indebido sobre periodistas, políticos, activistas, funcionarios, ciudadanos comunes y población en general.
El venenoso ha observado con atención cómo ha evolucionado la Agencia Digital de Innovación Pública (ADIP), ente que reconoció públicamente la existencia de múltiples intrusiones a portales oficiales de la Ciudad de México. Sin embargo, la ADIP no es una agencia que investigue cibercrímenes y haga auditorías forenses; eso toca a las autoridades investigadoras y perseguidoras de delitos, y ahí es donde también existe un gran vacío.
Lo urgente, a fe del escorpión y de acuerdo a toda guía de ciberseguridad asequible, es crear una autoridad nacional con mandato operativo y presupuesto propio para proteger infraestructuras críticas y coordinar respuestas. El reporte público transparente de incidentes (no su encubrimiento), para convertir cada ataque en una lección compartida. Invertir en talento y en ejercicios de respuesta: simulacros, formación continua y retención de especialistas. Revisar contratos y proveedores con auditorías independientes que garanticen que el dinero público compra seguridad real, no promesas.
El debate no es únicamente técnico, sino político y social. La confianza en las instituciones mexicanas es frágil de por sí, y la historia que nunca acaba de corrupción y negligencia alimenta la percepción de que los datos biométricos y el padrón telefónico podrían ser mal administrados. Para algunos, estas medidas representan un salto hacia la modernización y la protección de derechos; para otros, un riesgo de vigilancia masiva y exposición al cibercrimen. Y el escorpión se reitera un pesimista terminal.