Diego Jaimes
#Seguridad #Privacidad #Telcel #Mexico

Brecha de seguridad en Telcel: exposición de datos personales al vincular una línea

Diego Jaimes avatar
Diego Jaimes
Cover for Brecha de seguridad en Telcel: exposición de datos personales al vincular una línea

🚨 Brecha de seguridad en Telcel: exposición de datos personales

En enero de 2026 salió a la luz una vulnerabilidad crítica en el proceso de vinculación de cuentas de Telcel, que permitía acceder a información personal sensible de usuarios con solo ingresar un número telefónico válido, sin autenticación previa.

Lo más preocupante no fue solo la falla técnica, sino lo trivial que era explotarla.

🧠 ¿Qué fue lo que pasó?

Durante el flujo de vinculación/registro de una línea, el sistema:

  • Aceptaba un número Telcel activo
  • Verificaba si ya estaba registrado
  • Y respondía con datos personales del titular

👉 Todo esto sin contraseña, sin OTP, sin sesión autenticada.

📌 Datos que llegaron a exponerse

Dependiendo del caso, el backend devolvía:

  • Nombre completo
  • Correo electrónico
  • CURP
  • RFC

Esto convierte el fallo en una exposición directa de datos personales, no solo un error visual.

❌ ¿Por qué es una falla grave?

Desde el punto de vista de seguridad:

  • Falta de autenticación
  • Exposición directa de PII (Personally Identifiable Information)
  • Enumeración de usuarios por número telefónico
  • Violación del principio de minimización de datos

Desde el punto de vista legal (México):

  • Potencial violación a la Ley Federal de Protección de Datos Personales
  • Riesgo de suplantación de identidad
  • Riesgo de fraudes dirigidos e ingeniería social

🔍 ¿Cómo funcionaba técnicamente el error?

Sin entrar en detalles explotables, el patrón era clásico:

  1. Frontend envía un número telefónico
  2. Backend valida existencia
  3. Backend responde con objeto completo del usuario
  4. El frontend no filtra ni bloquea la respuesta

💥 El error no era del navegador, sino del backend y su lógica de autorización.

🛠️ ¿Cómo debería solventarse correctamente?

✅ 1. Autenticación obligatoria

Ningún endpoint debe devolver datos personales sin:

  • Sesión válida o
  • Token temporal (OTP / SMS / Email)

✅ 2. Principio de mínima información

Antes de autenticación, el sistema solo debería responder algo como:

{
  "exists": true
}

Asi que la recomendación es no registrarte hasta que Telcel confirme que el fallo de seguridad ha sido corregido.

Back to all posts