El nuevo sistema impulsado por el gobierno de México para registrar datos biométricos vinculados a números de teléfono móvil ha comenzado envuelto en polémica, luego de que desde el primer día se detectaran fallas críticas de seguridad que permiten la exposición de datos personales sin autenticación adecuada.

De acuerdo con análisis técnicos independientes, el portal habilitado para el registro permite consultar información sensible de cualquier número Telcel sin necesidad de completar correctamente el proceso de verificación.

El fallo: exposición directa de datos personales

Al ingresar un número telefónico en el sistema, el sitio solicita un código de verificación. Sin embargo, investigadores han comprobado que no es necesario introducir ningún código válido para que el propio frontend devuelva un archivo en formato JSON con información personal asociada a ese número.

Entre los datos expuestos se encuentran:

• Nombre completo
• Fecha de nacimiento
• RFC
• CURP
• Correo electrónico

Esto significa que cualquier persona puede introducir un número telefónico y obtener datos personales del titular, sin necesidad de credenciales, autenticación ni permisos especiales.

Riesgos para la población

Especialistas advierten que esta exposición representa un riesgo extremadamente alto para los ciudadanos, ya que permite:

• Robo de identidad
• Fraudes financieros
• Suplantación en servicios públicos y privados
• Phishing altamente dirigido
• Extorsión y acoso

Además, al tratarse de información oficial y estructurada, los datos tienen un alto valor en mercados ilícitos.

“Esto elimina por completo la barrera de entrada para el abuso. No hace falta ser hacker ni tener conocimientos técnicos: cualquier persona puede explotar esta falla desde un navegador”, señalan expertos en ciberseguridad.

Un problema estructural, no solo técnico

La situación ha reavivado el debate sobre la implementación apresurada de sistemas que concentran grandes volúmenes de datos sensibles sin garantías sólidas de seguridad, privacidad y auditoría independiente.

El registro biométrico vinculado a números telefónicos implica centralizar información altamente sensible de millones de ciudadanos, por lo que cualquier vulnerabilidad no es un fallo menor, sino un problema de seguridad nacional, protección de datos y derechos fundamentales.

Llamado a suspensión y auditoría

Diversos especialistas y organizaciones civiles han pedido:

• La suspensión inmediata del sistema hasta corregir las fallas.
• Una auditoría técnica independiente del código y la infraestructura.
• Transparencia sobre qué empresas desarrollaron el sistema y bajo qué estándares.
• Garantías legales claras sobre uso, protección y eliminación de los datos.

Hasta el momento, las autoridades no han emitido una respuesta técnica detallada sobre la vulnerabilidad reportada.

El caso pone en evidencia los riesgos de implementar infraestructuras digitales críticas sin pruebas de seguridad suficientes ni mecanismos de control independientes.

Más allá del debate político, el incidente muestra que la ciberseguridad y la protección de datos personales deben ser condiciones previas, no consecuencias posteriores, especialmente cuando se trata de información biométrica y de identidad de millones de personas.

La confianza pública en los sistemas digitales del Estado depende directamente de que estos sean seguros, auditables y respetuosos de la privacidad.