Identificación de líneas móviles abre el mayor frente de ciberseguridad para el sector telecom: Alicia Trejo de IQSEC

Alicia TrejociberseguridadCRT
Jorge Bravo

La identificación de líneas móviles en México no es sólo un trámite regulatorio, es un desafío de ciberseguridad de alto impacto que puede exponer a operadores y usuarios a filtraciones, suplantaciones y crisis reputacionales, alertó Alicia Trejo, gerente Cyberlegal de IQSEC.

Más que una obligación legal, la identificación de líneas móviles es una prueba de madurez en ciberseguridad para las empresas de telecomunicaciones, donde una falla técnica puede escalar en minutos a un incidente nacional.

Advirtió que la identificación de líneas móviles abre uno de los mayores frentes de riesgo en ciberseguridad para el sector telecom en México, donde una implementación deficiente puede convertir a los operadores en custodios vulnerables de información crítica.

Los lineamientos de identificación de líneas móviles, emitidos por la Comisión Reguladora de Telecomunicaciones, obliga a usuarios y proveedores a vincular líneas telefónicas a una identidad verificada. Involucra a personas físicas, morales, dependencias de gobierno y extranjeros, de un total que supera los 142 millones de líneas móviles. 

De qué se trata la identificación de líneas

La identificación inició el 9 de enero y los usuarios tendrán hasta el 30 de junio de 2026 para vincular sus líneas e intentar prevenir y combatir extorsiones y fraudes telefónicos, de lo contrario su línea será suspendida.

El proceso podrá ser presencial o remoto mediante portales, plataformas o soluciones tecnológicas que los operadores habiliten, con verificación de la CURP, la credencial para votar con fotografía o el pasaporte. Alicia Trejo advirtió que “en este momento no hay una obligación” de usar, solicitar o almacenar datos biométricos; sin embargo, “no se impide” emplear mecanismos robustos para evitar suplantaciones.

Desde la perspectiva de ciberseguridad, el riesgo no está en los lineamientos sino en su ejecución. Alicia Trejo subrayó que el verdadero problema surge cuando millones de registros de identidad quedan concentrados en plataformas que no siempre fueron diseñadas para operar bajo principios de seguridad por diseño y privacidad desde el origen. 

Para los operadores de telecomunicaciones el desafío es doble. Tienen la responsabilidad legal y operativa de desplegar plataformas seguras para el registro y la consulta pública de líneas. 

Además, deben proteger los activos de información con medidas que incluyan mecanismos de ciberseguridad como cifrado, autenticación multifactor y monitoreo continuo para detectar incidentes. 

Trejo señaló que “implica un reto y responsabilidad muy importante para los proveedores de servicios de telefonía móvil, precisamente de implementar mecanismos tecnológicos para brindarnos una mayor certeza jurídica”. La falta de estas medidas podría abrir puertas a vulneraciones.

La especialista explicó que el proceso de identificación incrementa de forma exponencial el valor de la información que administran los operadores. Ya no se trata sólo de números telefónicos, sino de vínculos verificables entre identidad y comunicaciones, un activo altamente atractivo para redes de fraude, extorsión y espionaje digital. 

La ausencia de cifrado robusto, controles de acceso estrictos y monitoreo permanente puede derivar en vulnerabilidades explotables en cuestión de horas.

Qué datos pueden recabar los operadores

Los lineamientos especifican límites sobre qué datos pueden retener los operadores. Trejo declaró que “tu proveedor de servicios no podrá resguardar datos biométricos, copia de la identificación o fotografías”. Sólo se guardará la evidencia del proceso de validación. Esta restricción busca reducir riesgos de uso indebido de datos sensibles, aunque deja la carga de la seguridad tecnológica en manos de los operadores.

Trejo recomendó una hoja de ruta para evolucionar desde la validación inicial basada en la credencial del INE o la CURP hacia niveles de certeza de identidad más robustos donde se usen estándares internacionales para pruebas de vida (por ejemplo, ISO 30107-3). “La tecnología sobra. Es tener conciencia de que existe por parte de estos proveedores de servicios y qué es lo que pueden implementar”, afirmó.

La percepción pública y el temor al uso indebido de datos aparecen como riesgos reputacionales y de adopción. Consultada sobre el miedo ciudadano al espionaje y la entrada de hackers, Trejo reconoció que la ley permite a la autoridad competente de seguridad y judicial requerir información para investigaciones. Advirtió que sin controles técnicos adecuados las bases de datos pueden ser vulneradas. 

“Si los proveedores de servicios de telefonía no implementan los mecanismos de ciberseguridad adecuados, puede haber vulnerabilidades aprovechadas por hackers.”

Trejo insistió en que la discusión debe desplazarse hacia los siguientes pasos. Arquitecturas seguras, pruebas de penetración constantes, autenticación multifactor, segregación de funciones y capacitación del personal deben entenderse como inversiones críticas y no como costos regulatorios. “No basta con cumplir. Se necesita una estrategia integral de ciberseguridad que proteja la identidad digital de los usuarios y, al mismo tiempo, la continuidad del negocio”, señaló.

Operativamente, Trejo enumeró medidas concretas para los operadores donde la inversión en seguridad tendrá retorno en confianza del cliente y en diferenciación de marca. Recomendó cifrado de las bases de datos, control de accesos por roles y autenticación multifactor, bitácoras y auditorías y formación continua del personal para mitigar riesgos humanos como el phishing.

La entrevistada explicó que para la ciudadanía la prioridad es cuidar los datos personales y reportar dispositivos robados para evitar usos ilícitos. Para los operadores de telecomunicaciones la instrucción es implementar adecuadamente seguridad y privacidad desde el diseño durante todo el ciclo de vida de la información. 

Para el regulador la recomendación es establecer mecanismos de supervisión y sanción efectivos y verificar que sólo se recoja la información mínima indispensable. “Esto atiende a la necesidad de evitar extorsiones y fraudes a través de la telefonía móvil”, concluyó Trejo.

IQSEC respalda estas propuestas con experiencia práctica en identidad digital y ciberseguridad, incluida la participación en proyectos de firma electrónica y verificación biométrica para entidades públicas y bancos.

Jorge Bravo 686 posts

Comunicólogo y estudioso especializado en medios de comunicación, telecomunicaciones, tecnologías y derecho a la información. Realiza coberturas de cumbres internacionales. Aborda los temas de legislación de medios, tecnologías y plataformas digitales, políticas públicas tecnológicas y regulación, espectro radioeléctrico, tecnologías móviles, industria culturales. Colaborador del diario El Economista y la revista Proceso. Contacto: jorge.bravo@digitalpolicylaw.com

También podría gustarte Más del autor
Más historias

México | Senadora de Morena pide reforzar protección de datos personales en registro de líneas telefónicas

Claro activa su red 5G en Perú y ya se encuentra en 100 distritos

Digital Metrics | Crece 8.9% venta de computadoras en el mundo en 2025

1 De 7,479