|Mobile Time Latinoamérica| O início do registro obrigatório de linhas móveis no México, em vigor desde 9 de janeiro de 2026, tem sido marcado por falhas técnicas, fragilidades no desenho regulatório e alertas crescentes sobre a proteção de dados pessoais e direitos digitais.
A medida, decorrente da reforma da Lei de Telecomunicações e Radiodifusão aprovada em junho de 2025, obriga os usuários a vincular seu número telefônico ao equivalente ao RG mexicano, chamado Clave Única de Registro de Población (CURP), até 28 de junho de 2026.
A partir dessa data, as linhas não registradas poderão ser suspensas, deixando o usuário incomunicável não apenas para chamadas de voz, mas também sem acesso a dados móveis, o que hoje impacta diretamente a economia digital e o trabalho remoto.
Embora o cadastro tenha sido apresentado pela autoridade como uma ferramenta para combater crimes como extorsão e sequestro virtual, sua implementação inicial expôs problemas que vão além de incidentes isolados.
Início sob pressão e plataformas ainda imaturas
Desde os primeiros dias, as operadoras enfrentaram instabilidades e saturação em suas plataformas devido ao grande volume de usuários que tentaram concluir o procedimento simultaneamente.
Recentemente, porém, o foco da atenção se voltou para a Telcel, operadora com a maior base de clientes do país, depois que foram documentadas vulnerabilidades em sua plataforma de registro remoto.
De acordo com reportagens da imprensa local e de especialistas em cibersegurança, uma falha de configuração permitiu por várias horas a consulta de dados pessoais associados a linhas móveis — como nome, CURP, e-mail e RFC (equivalente ao CPF brasileiro) — sem mecanismos robustos de autenticação.
Essa fragilidade técnica teria permitido inclusive a automatização de consultas a partir de bases de números previamente vazadas. A empresa negou que se tratasse de um vazamento em massa e afirmou que o incidente decorreu de um erro técnico já corrigido, além de atribuir os problemas iniciais à sobrecarga do sistema.
Por sua vez, a Comissão Reguladora de Telecomunicações (CRT) explicou as falhas como resultado do alto fluxo de usuários, sem anunciar investigações específicas sobre a exposição de dados relatada.
A essas críticas somou-se a identificação de uma segunda vulnerabilidade, também documentada publicamente, relacionada ao uso indevido da infraestrutura de mensagens da operadora.
O jornalista Ignacio Gómez Villaseñor informou em sua conta no X que um especialista em cibersegurança identificou uma falha que permitiria o envio massivo de mensagens SMS sem limites efetivos, viabilizando ataques de “SMS bombing” sem que o sistema acionasse alertas ou bloqueios.
Especialistas ouvidos pela imprensa local destacaram que esse tipo de fragilidade não representa apenas um risco aos usuários, mas também à integridade da rede e aos custos operacionais, ao permitir abusos sistemáticos de infraestrutura crítica.
Lacunas regulatórias e assimetrias no desenho do cadastro
As diretrizes do registro estabelecem que uma pessoa física pode cadastrar até 10 linhas móveis por CURP, incluindo pré-pago, pós-pago, linhas físicas e eSIM. Em contraste, pessoas jurídicas e pessoas físicas com atividade empresarial não têm limite explícito, desde que apresentem RFC e comprovante de situação fiscal.
Essa assimetria abre espaço para a ativação em massa de linhas sob esquemas legais, com riscos de revenda e uso indevido, especialmente na ausência de mecanismos adicionais de verificação e supervisão.
De fato, analistas alertam para outra vulnerabilidade: o cadastro pode incentivar um mercado informal de linhas móveis, sobretudo entre pessoas que não possuem identificação válida ou documentação completa.
Nesse cenário, poderiam proliferar linhas “prontas para uso” vendidas por terceiros, enfraquecendo o objetivo de rastreabilidade do registro.
Esse risco é especialmente relevante em um contexto em que a extorsão telefônica encerrou 2025 em níveis historicamente elevados: entre janeiro e novembro de 2025, houve 10.322 vítimas de extorsão no México, segundo dados do Secretariado Executivo do Sistema Nacional de Segurança Pública (SESNSP), o maior número desde 2015.
Alertas sobre direitos digitais e vigilância
A partir da sociedade civil, a organização R3D: Red en Defensa de los Derechos Digitales advertiu que o registro obrigatório começou sem salvaguardas suficientes contra abusos.
A entidade lembrou que associações internacionais do setor, como a GSMA, já indicaram que não há evidência conclusiva de que registros obrigatórios de linhas móveis reduzam crimes como extorsão; ao contrário, podem incentivar práticas como roubo de celulares, clonagem de SIM cards ou contrabando.
A R3D também alertou que essas bases de dados se tornam alvos de alto valor para o cibercrime, como demonstraram as vulnerabilidades detectadas no início do registro.
Além disso, advertiu sobre os riscos de amplo acesso por parte das autoridades, especialmente em um contexto normativo que permite o cruzamento de bases de dados públicas e privadas sem controles claros nem obrigações de transparência.
A organização destacou que esse modelo pode resultar em práticas de vigilância indevida e ter efeitos desproporcionais sobre populações vulneráveis, como pessoas migrantes ou em trânsito que não possuem CURP ou documentação oficial, condicionando seu acesso a um serviço essencial como a telefonia móvel.
Para além dos problemas operacionais, a implementação do registro obrigatório também abriu uma frente legal pouco abordada pelas autoridades: a proteção de dados pessoais e os direitos digitais dos usuários.
Embora no México não exista uma figura única chamada Habeas Data, esse direito é reconhecido de forma fragmentada na Constituição e na legislação infraconstitucional.
Sheinbaum defende o registro obrigatório
A presidente Claudia Sheinbaum defendeu nesta terça-feira o registro obrigatório de linhas móveis e afirmou que qualquer violação de dados pessoais é responsabilidade das empresas de telefonia, e não do governo federal. Ela reiterou que a medida faz parte da estratégia para combater fraudes e extorsões.
A mandatária explicou que o registro é realizado diretamente com as operadoras móveis e que as informações permanecem sob a guarda dessas empresas.
“As pessoas se registram na operadora e, se houver um crime, as áreas de segurança ou de persecução penal solicitam à empresa as informações do número a partir do qual o ilícito foi cometido”, disse, acrescentando que o acesso aos dados ocorre apenas no âmbito de uma investigação formal e não implica vigilância generalizada da população.
A imagem principal foi criada por Mobile Time com IA.
