Una infraestructura vulnerable de telecomunicaciones y un padrón celular obligatorio colocan a los usuarios en la mira del cibercrimen
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.
La creciente sofisticación del espionaje digital ha dejado de centrarse en la intrusión directa a empresas para desplazarse hacia un terreno más amplio y estratégico: la explotación de las infraestructuras que sostienen la conectividad global. Un análisis reciente de la unidad de investigación de SILIKN advierte que muchas organizaciones ya forman parte — sin saberlo — de rutas de recolección de inteligencia, operadas por actores estatales o grupos avanzados. En este nuevo escenario, las redes de telecomunicaciones adquieren un papel crítico, al convertirse en puntos privilegiados para la observación, interceptación y acumulación de datos a gran escala.
Este fenómeno cobra especial relevancia en México, donde empresas como Telcel, AT&T y Movistar enfrentan crecientes desafíos para resguardar la información personal de millones de usuarios. La implementación del registro obligatorio de líneas móviles, impulsado por el gobierno federal a través de la Comisión Reguladora de Telecomunicaciones, ha intensificado estos riesgos al exigir la vinculación de cada número telefónico con datos sensibles como CURP, identificación oficial y otros elementos personales.
El objetivo oficial de esta medida — vigente desde enero de 2026 y con plazo hasta junio del mismo año — es reducir el anonimato en las comunicaciones para combatir delitos como extorsión y fraude. Sin embargo, su implementación ha evidenciado vulnerabilidades estructurales en los operadores, especialmente en un contexto donde el espionaje contemporáneo ya no requiere atacar directamente a los usuarios finales, sino infiltrarse en las capas profundas de la infraestructura digital. En otras palabras, el riesgo no solo radica en quién accede a los datos, sino en dónde están almacenados y cómo circulan dentro de redes interconectadas.
Uno de los episodios más graves ocurrió al inicio del padrón, cuando el portal de registro de Telcel presentó una vulnerabilidad crítica que permitía acceder a información sensible — como nombre completo, CURP, RFC y correo electrónico — con solo ingresar un número telefónico, sin autenticación adicional. Aunque la falla fue corregida tras varias horas, el incidente expuso la fragilidad de los sistemas encargados de concentrar datos personales a gran escala y encendió alertas sobre posibles usos indebidos por parte de atacantes maliciosos.
Especialistas señalaron que este tipo de fallas refleja una implementación apresurada, con plataformas desarrolladas en plazos reducidos y, por tanto, más propensas a errores de configuración. La centralización temporal de información sensible durante el registro no solo incrementa el valor de estas bases de datos como objetivo, sino que las convierte en piezas clave dentro de potenciales rutas de espionaje digital.
El argumento de fondo es claro: los atacantes no necesitan vulnerar directamente a una empresa si pueden acceder a los sistemas intermedios de los que depende. Redes de telecomunicaciones, proveedores de nube y servicios de identidad conforman un ecosistema donde una sola brecha puede escalar rápidamente. En este contexto, las telefónicas dejan de ser simples intermediarias de comunicación para convertirse en nodos estratégicos dentro de una superficie global de vigilancia.
Un caso internacional ilustra la magnitud de este riesgo. En febrero de 2026, autoridades de Singapur revelaron que el grupo de ciberespionaje UNC3886 logró infiltrarse en las redes de los principales operadores del país mediante vulnerabilidades de día cero y técnicas avanzadas de persistencia. El acceso no solo comprometió a las empresas afectadas, sino que potencialmente convirtió a toda la infraestructura nacional en un punto de recolección de señales, con implicaciones directas para la privacidad de ciudadanos y la seguridad del Estado.
En México, además de los riesgos estructurales, persisten amenazas operativas como el SIM swapping, una técnica que permite a atacantes tomar control de un número telefónico mediante ingeniería social o fallas en los procesos de verificación. Este tipo de fraude facilita el acceso a cuentas bancarias, correos electrónicos y redes sociales, y evidencia que incluso sin grandes brechas tecnológicas, los datos personales pueden ser vulnerados a través de debilidades humanas o administrativas.
A ello se suma un elemento adicional de tensión: el acceso gubernamental a la información. La legislación mexicana obliga a los concesionarios a proporcionar datos de usuarios y geolocalización en tiempo real ante requerimientos de autoridades, en algunos casos sin orden judicial previa. Si bien estas facultades se justifican en términos de seguridad pública, la unidad de investigación de SILIKN señala que también abren la puerta a esquemas de vigilancia masiva, especialmente peligrosos en un entorno donde las infraestructuras ya son consideradas objetivos estratégicos de espionaje.
Frente a este panorama, la unidad de investigación de SILIKN menciona que el enfoque debe cambiar. La protección de datos personales ya no puede limitarse a controles perimetrales o medidas reactivas, sino que requiere una gestión integral de riesgos en toda la cadena de dependencias. Esto implica fortalecer auditorías a proveedores, adoptar modelos de “zero trust”, reducir la confianza implícita en sistemas de autenticación y asumir que ciertos niveles de acceso adversario pueden ser inevitables.
En última instancia, el caso mexicano refleja una tensión global: la necesidad de equilibrar seguridad pública, innovación tecnológica y protección de la privacidad. La interconexión que impulsa la economía digital también amplifica los riesgos, y coloca a las empresas de telecomunicaciones en el centro de una disputa silenciosa por el control de la información.
En la era del espionaje contemporáneo, la pregunta ya no es si los datos personales pueden ser interceptados, sino cuán expuestos están dentro de infraestructuras que, cada vez más, forman parte de rutas invisibles de vigilancia.
Para más información, visite: https://www.silikn.net/