"La Identidad en Riesgo: El Fallido Inicio del Registro Biométrico en México"

Estamos iniciando  2026, y la situación sobre el registro obligatorio de celulares y la CURP en México es un tema de alta tensión debido a fallas técnicas reales y recientes que han expuesto los datos de millones de ciudadanos.

Aquí tienes la recopilación de los hechos confirmados hasta hoy, 16 de enero de 2026:

1. El Registro Obligatorio (Padrón de Telefonía Móvil)

Aprobado en 2025 e implementado oficialmente el 9 de enero de 2026, este registro obliga a todos los usuarios (prepago y pos pago) a vincular su número celular con su CURP e identificación oficial (INE).

·        Fecha límite: Tienes hasta el 30 de junio de 2026. Si no lo haces, las operadoras suspenderán el servicio.

·        Curp Biométricos: Aunque el gobierno ha dicho que no es obligatorio para todos, algunos portales de registro están pidiendo "pruebas de vida" (selfies con movimiento de cabeza) para validar la identidad.

2. Ciberataques y Filtraciones Confirmadas (Enero 2026)

Lamentablemente, sí ha habido ataques y filtraciones graves en los primeros días del registro:

·        Falla Crítica en Portales (Telcel): Se documentó que el portal de registro de Telcel tuvo una vulnerabilidad masiva el 10 de enero. Al ingresar un número, el sistema devolvía un archivo con el nombre completo, RFC, CURP y correo electrónico del titular sin pedir contraseña ni SMS de verificación.

·        Suplantación de Identidad: En foros como Reddit y redes sociales, usuarios han demostrado que pueden registrar líneas usando datos públicos de políticos (como los de Claudia Sheinbaum o legisladores) mediante videos generados con Inteligencia Artificial para saltarse la validación facial.

·        Filtraciones Previas: En 2025 se reportaron hackeos a bases de datos del Gobierno de la CDMX y de la Presidencia, lo que significa que mucha de la información que ahora te piden ya está circulando en el mercado negro.

3. Los Riesgos Reales para el Ciudadano

Expertos en ciberseguridad y organizaciones como R3D (Red en Defensa de los Derechos Digitales) advierten que estos registros están facilitando el trabajo al crimen organizado:

·        Extorsión Dirigida: Al saber exactamente quién es el dueño del número, los extorsionadores ya no llaman al azar; ahora saben tu nombre, dónde vives (por el INE vinculado) y quiénes son tus familiares.

·        Robo de Identidad: Con tu CURP, INE y foto vinculados a un número, un criminal puede intentar sacar créditos bancarios o suplantarte en trámites oficiales.

·        Llamadas Fantasma: Desde que inició el registro, miles de usuarios reportan un aumento en llamadas de números desconocidos que cuelgan de inmediato, lo cual es una técnica para validar qué líneas ya están activas y registradas.

4. ¿Qué hacer?

Ante la presión de la suspensión de la línea, la recomendación de los especialistas es:

1.      Registro Presencial: De ser posible, acude a un Centro de Atención a Clientes físico en lugar de usar las plataformas web, que han demostrado ser vulnerables.

2.      No compartas códigos: Nunca entregues códigos SMS que te lleguen al celular si no los solicitaste tú mismo.

3.      Vigila tu banca móvil: Activa todas las alertas de seguridad en tus aplicaciones bancarias, ya que el número de celular es ahora la llave para entrar a tus cuentas.

Lamentablemente, a inicios de 2026 la situación es crítica. Los ataques han dejado de ser "rumores" para convertirse en investigaciones oficiales.

Aquí tienes la documentación de las filtraciones y ataques más graves ocurridos en los últimos meses y semanas:

1. El Hackeos Masivo de "Chronus" (Enero 2026)¹

Este es el evento más grave hasta la fecha. El grupo de hackers conocido como Chronus puso a la venta en la Deep Web bases de datos extraídas de más de 20 instituciones públicas.²

• SAT (Servicio de Administración Tributaria): Se documentó la extracción de datos de más de 100,000 contribuyentes, incluyendo RFC, domicilios fiscales y situación de pagos.³

• IMSS (Instituto Mexicano del Seguro Social): Filtración de registros digitales de pacientes y derechohabientes. Esto se suma a la vulneración de septiembre de 2025, donde se expuso información de 20 millones de pensionados.⁴

• Alcance Estatal: Instituciones de la CDMX, Sonora y Querétaro también fueron comprometidas.⁵

2. La Falla en el Padrón de Telefonía (Enero 2026)⁶

Apenas 24 horas después de entrar en vigor el registro obligatorio de celulares (9 de enero), especialistas de firmas como SILIKN detectaron una brecha crítica: ⁷

• El Error de Telcel: Durante varias horas, el portal de registro permitió que cualquier persona, con solo ingresar un número telefónico ajeno, pudiera visualizar el nombre completo del titular, su RFC y su código QR de identidad.

• La Respuesta: Aunque Telcel negó una "filtración masiva", admitió una "vulnerabilidad por error técnico".⁸ Sin embargo, el daño ya estaba hecho: se pudieron crear bases de datos "espejo" que vinculan números con identidades reales.

3. "Chilango Leaks" y Gobiernos Locales (2025)

Durante el año pasado, el Gobierno de la CDMX sufrió al menos cinco hackeos confirmados a sus portales oficiales: ⁹

• Agencia Digital de Innovación Pública (ADIP): Vulneración en octubre de 2025 que expuso datos de la App CDMX.¹⁰

• Protección Civil: Hackeos al portal de educación donde se manejaba información laboral y financiera de trabajadores.¹¹

• Sistema Ajolote (Datos Abiertos): El portal fue secuestrado y convertido temporalmente en un sitio de apuestas.¹²

4. ¿Cómo extraen la información?

Los métodos documentados por la Secretaría Anticorrupción y Buen Gobierno incluyen:

1. Uso indebido de credenciales: Filtraciones internas donde empleados venden sus claves de acceso.¹³

2. Vulnerabilidades "Día Cero": Fallos en el software de los servidores gubernamentales que no han sido parchados (actualizados).¹⁴

3. Deepfakes para el Registro de Celular: El uso de IA para engañar a los sistemas de "prueba de vida" (biométricos), permitiendo a criminales registrar líneas a nombre de otros ciudadanos usando fotos de redes sociales.

Tabla de Datos Expuestos (Resumen 2026)

Consecuencia directa: Esta información está siendo utilizada para realizar extorsiones personalizadas.¹⁵ Los delincuentes ya no llaman diciendo "tengo a tu hijo"; ahora llaman diciendo tu nombre completo, tu RFC y mencionando trámites que realmente hiciste en el SAT o el IMSS para ganarse tu confianza.

Y tú que piensas sobre el tema qué opinas nos gustaría escuchar tu opinión  déjanos tu comentario