Por Redaccion 
La nueva regulación traslada la responsabilidad de la seguridad y la identidad digital a concesionarios y comercializadoras de líneas telefónicas móviles.- El incumplimiento en ciberseguridad y protección de datos puede derivar en sanciones administrativas, penales y riesgos reputacionales.
Ciudad de México, enero de 2026.– Las sanciones administrativas por incumplimiento en materia de protección de datos personales, las infracciones a la Ley Federal de Telecomunicaciones y Radiodifusión, así como los riesgos legales derivados de posibles suplantaciones de identidad, se perfilan como las principales consecuencias para concesionarios y comercializadoras de líneas telefónicas móviles en México que no cumplan con los Lineamientos para la Identificación de Líneas Telefónicas Móviles, además de otras regulaciones aplicables, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Los concesionarios y comercializadoras no solo están obligados a vincular cada línea a una persona física o moral, sino también a resguardar la información confidencial de más de 98 millones de usuarios de telefonía móvil en México, bajo estrictos estándares de seguridad.
“A partir de la entrada en vigor de los Lineamientos para la Identificación de Líneas Telefónicas Móviles, el 9 de enero de 2026, los concesionarios y las comercializadoras están obligados a activar y mantener en operación únicamente las líneas asociadas a usuarios que hayan presentado una identificación oficial. El reto no es tecnológico, sino de gestión del riesgo, ya que las vulneraciones, el uso indebido o la recolección excesiva de datos puede derivar en sanciones que van desde una amonestación hasta una multa de 37.5 millones de pesos, así como sanciones impuestas por la Comisión Reguladora de Telecomunicaciones que oscilan entre el 0.01% y el 6% de los ingresos de los concesionarios o de la persona infractora”, advirtió Alicia Trejo, Gerente CiberLegal de IQSEC.
Las obligaciones
Durante la implementación de los Lineamientos, los concesionarios y comercializadoras deberán equilibrar obligaciones operativas y de ciberseguridad previstas en la Ley Federal de Telecomunicaciones y Radiodifusión. Por un lado, los artículos 182 y 183, fracciones I a IV, establecen la obligación de conservar datos de tráfico hasta por 24 meses, mantener bases de datos consultables en tiempo real, atender requerimientos de autoridad las 24 horas del día, los siete días de la semana, colaborar en la geolocalización en tiempo real de equipos terminales y aplicar las medidas técnicas necesarias para garantizar la integridad y confidencialidad de la información.
Asimismo, el artículo 107 refuerza el carácter confidencial de los datos y el propio artículo 183 remite expresamente a la LFPDPPP, trasladando a los operadores la responsabilidad plena sobre el tratamiento, resguardo y seguridad de la información de los usuarios.
“La regulación pone sobre la mesa un principio clave: quien trata los datos, responde por ellos. Los operadores deberán demostrar controles organizacionales, técnicos y administrativos desde el primer día. En materia de ciberseguridad, no existe un periodo de gracia”, señaló la especialista en Identidad Digital de IQSEC.
Adicionalmente, los concesionarios deberán conservar un registro y control de las comunicaciones que se realicen desde cualquier tipo de equipo o línea, que permita identificar:
- El tipo de comunicación (transmisión de voz, buzón de voz, conferencias o datos).
- Servicios suplementarios, incluidos el reenvío o la transferencia de llamadas, así como servicios de mensajería.
- Los datos necesarios para rastrear e identificar el origen y destino de las comunicaciones, como el número de destino y la modalidad de la línea (contrato, plan tarifario o prepago).
- La fecha, hora y duración de la comunicación.
- La fecha y hora de la primera activación del servicio, así como la etiqueta de localización desde la que se haya activado.
- La identificación y características técnicas de los dispositivos.
- La ubicación digital del posicionamiento geográfico de las líneas telefónicas.
“Más allá del impacto económico, las organizaciones pueden enfrentar daños reputacionales significativos, pérdida de confianza de los usuarios y riesgos legales derivados de suplantaciones de identidad o del uso ilícito de líneas incorrectamente vinculadas. La diferencia entre un cumplimiento mínimo y uno responsable estará en la capacidad de los operadores para proteger la información de la población y evitar que esta medida, diseñada para reducir delitos, se convierta en un nuevo vector de riesgo”, concluyó Alicia Trejo.
Finalmente, las fechas clave para el sector son el 7 de febrero de 2026, cuando deberá estar disponible la plataforma de consulta para usuarios, y el 30 de junio de 2026, fecha en la que se suspenderán las líneas no vinculadas, las cuales quedarán habilitadas únicamente para realizar llamadas de emergencia.
@IQSEC (Facebook | LinkedIn | X)