Los datos están en internet. El daño ya está hecho.
Días antes del plazo obligatorio para registrar líneas celulares en México, el grupo de hackers Mago Peak expuso los datos personales de más de 45,000 usuarios, poniendo en entredicho la promesa gubernamental de que el sistema era seguro. La filtración, que afectó principalmente a usuarios en Chiapas y reveló nombres, números telefónicos y claves fiscales, no es un incidente aislado, sino parte de un patrón que señala grietas profundas en la infraestructura digital del Estado. Cuando los ciudadanos son convocados a entregar su información personal como acto de confianza cívica, la pregunta que emerge es antigua y urgente: ¿quién custodia a los custodios?
- El grupo Mago Peak filtró datos sensibles de 45,804 usuarios de telefonía móvil en México, incluyendo nombres, números y RFC, justo cuando el gobierno exigía a los ciudadanos registrar sus líneas.
- La información expuesta puede ser utilizada para fraudes y suplantación de identidad, convirtiendo una medida de seguridad pública en una fuente potencial de victimización masiva.
- El acceso habría ocurrido no directamente a través de AT&T, sino mediante una empresa de telemarketing vinculada, revelando que la cadena de custodia de datos es más porosa de lo que las autoridades admiten.
- El mismo grupo también atacó la plataforma del ISSSTE, sugiriendo que el registro obligatorio de celulares se ha convertido en un imán para ciberdelincuentes que buscan explotar plataformas con datos concentrados.
- El plazo vence el 30 de junio de 2026 y las líneas no registradas serán suspendidas, dejando a los ciudadanos atrapados entre la obligación legal y la incertidumbre sobre la seguridad real de sus datos.
El gobierno mexicano prometió que el registro obligatorio de líneas celulares protegería a los ciudadanos. Pero días antes de que venciera el plazo, el grupo de hackers Mago Peak filtró los datos de 45,804 usuarios de telefonía móvil, exponiendo nombres completos, números telefónicos y claves fiscales. El golpe se concentró principalmente en Chiapas y dejó al descubierto, una vez más, la fragilidad de los sistemas que supuestamente resguardan la información personal de los mexicanos.
Mago Peak se atribuyó el ataque públicamente y difundió la lista completa de datos comprometidos. Aunque la mayoría de los números parecen pertenecer a AT&T, los investigadores sospechan que el acceso no fue directo a la empresa telefónica, sino a través de una firma de telemarketing que maneja esa información para ventas y servicio al cliente. El mismo grupo también reivindicó un ataque previo contra la plataforma del ISSSTE, lo que sugiere un patrón deliberado: los ciberdelincuentes están encontrando en el registro celular un incentivo para atacar plataformas con datos concentrados.
La contradicción es difícil de ignorar. Mientras las autoridades insisten en que el sistema es completamente seguro, las filtraciones sucesivas generan preguntas que no tienen respuesta oficial clara: ¿quién supervisa realmente la seguridad de estos sistemas? ¿Qué tan preparado está el Estado para responder?
El plazo límite es el 30 de junio de 2026. Las líneas no registradas serán suspendidas hasta que el usuario complete el trámite, que es gratuito y no debe incluir datos biométricos. Pero lo que permanece sin resolver es si esa información, una vez entregada, estará realmente a salvo. Mientras los ciudadanos se apresuran a cumplir con la ley, los hackers siguen buscando grietas en sistemas que, al parecer, fueron construidos sin la solidez que la tarea exigía.
El gobierno mexicano había prometido que el registro obligatorio de líneas celulares protegería a los ciudadanos. Días antes de que venciera el plazo para cumplir con esa disposición, un grupo de hackers llamado Mago Peak filtró los datos de 45,804 usuarios de telefonía móvil, exponiendo nombres completos, números telefónicos y claves de identificación fiscal. La irrupción ocurrió principalmente en Chiapas y puso en evidencia, una vez más, la fragilidad de los sistemas que supuestamente resguardan la información personal de los mexicanos.
Mago Peak se atribuyó el ataque públicamente, asegurando haber penetrado una base de datos antes de difundir la lista completa. Los archivos filtrados contenían datos clasificados como sensibles, información que los delincuentes podrían utilizar para cometer fraudes, suplantación de identidad u otros crímenes. Aunque la mayoría de los números expuestos parecen pertenecer a AT&T, también había líneas de otras compañías telefónicas. Los investigadores sospechan que el acceso no fue directo a los sistemas de la empresa telefónica, sino a través de una firma de telemarketing que maneja esa clase de información para ventas, servicio al cliente y encuestas.
Este no fue el único golpe que Mago Peak reivindicó en las últimas semanas. El mismo grupo también se adjudicó un ataque anterior contra la plataforma del ISSSTE, el instituto de seguridad social para trabajadores del estado. El patrón sugiere que los ciberdelincuentes están encontrando en el registro obligatorio de celulares un incentivo para atacar plataformas públicas y privadas, exponiendo vulnerabilidades que las autoridades no han logrado cerrar.
La tensión es evidente. Mientras el gobierno sostiene que el registro telefónico es completamente seguro y que los datos de los usuarios están protegidos, la realidad en el terreno cuenta otra historia. Las filtraciones sucesivas generan preguntas incómodas: ¿dónde está realmente la protección? ¿Quién supervisa la seguridad de estos sistemas? ¿Qué tan preparadas están las autoridades para responder a estos ataques?
El plazo límite para registrar la línea celular es el 30 de junio de 2026. Después de esa fecha, las líneas que no hayan sido registradas serán suspendidas. El servicio no se cancela de inmediato, pero queda bloqueado hasta que el usuario complete el trámite. Para registrarse, los ciudadanos deben acceder al portal de su compañía telefónica o acudir presencialmente a una sucursal, proporcionando una identificación oficial vigente, su CURP y, en algunos casos, un comprobante de domicilio. El proceso es gratuito y no debe incluir solicitudes de datos biométricos sensibles como huellas o ADN.
Lo que queda sin resolver es si esa información, una vez registrada, estará realmente a salvo. La filtración de Mago Peak sugiere que no. Y mientras los ciudadanos se apresuran a cumplir con la obligación legal, los hackers continúan buscando grietas en sistemas que, aparentemente, fueron diseñados sin la robustez que la tarea requería.
Notable Quotes
El gobierno sostiene que el registro telefónico es completamente seguro y que los datos de los usuarios están protegidos— Autoridades mexicanas
El registro es obligatorio y no se ha anunciado prórroga; líneas no registradas serán suspendidas después del 30 de junio— Disposición oficial
The Hearth Conversation Another angle on the story
¿Por qué un grupo de hackers se molesta en filtrar datos públicamente? ¿Qué ganan con eso?
Mago Peak parece estar usando las filtraciones como una forma de demostración. Exponen vulnerabilidades para que se sepa que existen, para que el público entienda que los sistemas no son tan seguros como prometen. Es una mezcla de vanidad y mensaje político.
¿Cómo es que penetraron una base de datos de telemarketing y no directamente a AT&T?
Probablemente porque las empresas de telemarketing tienen menos capas de seguridad. Compran datos, los almacenan, los usan para campañas. Son eslabones más débiles en la cadena. Atacar ahí es más fácil que ir directo a la compañía telefónica.
El gobierno dice que el registro es seguro. ¿Creen que es mentira o simplemente no saben?
Probablemente ambas cosas. No creo que sea mentira deliberada. Creo que las autoridades no entienden completamente los riesgos, o los entienden pero no tienen los recursos para prevenirlos. Y cuando algo falla, es más fácil insistir en que está seguro que admitir la verdad.
¿Qué pasa con alguien cuyos datos fueron filtrados? ¿Tiene alguna protección?
Teóricamente, sí. Pero en la práctica, una vez que tus datos están en internet, están en internet. Pueden ser usados para fraude, para suplantación de identidad, para extorsión. El daño ya está hecho. La protección llega demasiado tarde.
¿Por qué el gobierno insiste en este registro si genera estos riesgos?
Dicen que es para proteger a los ciudadanos, para combatir el crimen. Pero el registro también centraliza información. Cuanta más información en un lugar, más atractivo es ese lugar para los delincuentes. Es una paradoja que nadie quiere reconocer.