Desde el 9 de enero de este 2026, la Comisión Reguladora de Telecomunicaciones de México obliga a que todas las líneas móviles del país estén asociadas a una identidad verificada.

Hasta ahora, las tarjetas SIM podían contratarse de forma completamente anónima, algo que cambia con la obligatoriedad del registro. Una medida lógica para evitar el SCAM telefónico que, en las últimas horas, ha desatado la polémica.

La supuesta brecha. A menos de 24 horas de la entrada en vigor del registro obligatorio de líneas móviles en México, Telcel, uno de los mayores operadores del país, sufría una presunta brecha de seguridad que habría expuesta información personal de millones de clientes.

“El portal oficial de @Telcel presenta una vulnerabilidad seguridad crítica que deja al descubierto la identidad, la CURP, el RFC y correo electrónico de millones de usuarios. Esto ocurre solo 24 horas después de haber entrado en vigor la normativa que obliga a registrar todas las líneas móviles en el país. Al ingresar cualquier número telefónico de Telcel en el formulario, el sistema interno devuelve —sin necesidad de contraseñas ni códigos de verificación— un paquete de información completo del titular de la línea. Esto es sumamente peligroso. Cualquier ciberdelincuente podría usar alguna de las bases de números de Telcel y automatizar la extracción masiva de información”. Ignacio Gómez Villaseñor, periodista.

Los reportes apuntaban a una filtración masiva de todos y cada uno de sus clientes, asegurando las fuentes que durante unas horas fue posible acceder a los datos a través del portal oficial de Telcel.

La respuesta de Telcel. Fue tal la difusión de la supuesta brecha que Telcel no tardó en llamar a la calma. Eso sí, lo hizo con un comunicado algo ambiguo en el que ni afirma ni desmiente que se produjese el fallo de seguridad.

“Tus datos están seguros. Cada usuario recibe un código único por SMS para acceder únicamente a su propia información y realizar la vinculación de su línea. Hemos implementado medidas de seguridad adicionales al proceso de registro. El proceso es seguro y tus datos están protegidos”. Telcel.

Aunque Telcel aseguraba que, en el momento de su publicación, los datos estaban a salvo, la compañía reconoce haber implementado medidas  de seguridad adicionales durante el proceso de registro.

Horas después. Renato Flores, subdirector de comunicación de Telcel, reconocía horas después en una de las radios nacionales que hubo una vulnerabilidad técnica.

“Telcel actuó de forma rápida, responsable y transparente. Detectamos una vulnerabilidad, la corregimos de inmediato, reforzamos la seguridad y en todo momento protegimos los datos de nuestros clientes”.

Pese a admitir la brecha, la postura de la compañía seguía firme: se aseguraba que tan solo se podía acceder como usuario a información propia, no a la del resto de clientes de la compañía. Es algo que Gómez Villaseñor no tardó en desmentir mediante un vídeo publicado en X, en el que mostraba cómo pudo acceder a datos de usuarios.

Los riesgos. Según la fuente, durante horas estuvieron expuestos los siguientes datos:

• Identidad del titular
• CURP (Clave Única de Registro de Población)
• RFC (Registro Federal de Contribuyentes)
• Correo electrónico

Un caso relativamente similar al reciente hackeo a Endesa sufrido en España, mediante el cual los supuestos atacantes aseguran haberse hecho con más de 1TB de información relativa a números de cuenta, identidades, direcciones, números de teléfono y correos electrónicos.

Un proceso accidentado. En mitad del debate, la Comisión Reguladora de Telecomunicaciones (CRT) aclaraba que, durante la primera fase de este registro nacional, hubo ciertas “intermitencias en diversas plataformas” debido al alto volumen de usuarios, sin dar demasiado detalles al respecto.  

La Comisión evitó referirse al caso concreto, y se limitó a señalar que se mantiene en contacto con los operadores para normalizar el servicio.

Y ahora qué. Por el momento, no se tienen noticias acerca de posibles explotaciones de la supuesta vulnerabilidad. En caso de haberse producido, los atacantes tendrían acceso a información personal de los clientes, tal y como sucede en cualquier otro caso de hackeo masivo.

Ante estas filtraciones, la única respuesta del usuario puede ser estar alerta: no atender ni proporcionar datos sensibles mediante SMS, llamadas, mensajes de WhatsApp o comunicaciones por correo electrónico (o cualquiera de nuestros medios de contacto que hayan podido filtrarse) sin tener clarísimo a quién nos estamos refiriendo. 

Imagen | Xataka

En Xataka | Una sola persona en Barcelona y 2,5 millones de SMS al día: las “granjas de móviles” que operan en España para estafarte

Matthew Prokop, exactor de Disney, fue arrestado por cuatro delitos, dos de ellos de gravedad, entre los cuales es señalado por almacenar pornografía infantil. 

Tras la aprehensión ocurrida el pasado 24 de diciembre, el actor se encuentra actualmente ingresado en la cárcel del condado de Victoria, en Texas. 

El actor que interpretó a Jimmie en “High School Musical 3: La Graduación”, actualmente de 35 años de edad, fue puesto bajo custodia de las autoridades del condado debido a que un miembro de su familia lo acusó tras agredirlo con un arma de fuego así como haber violado una orden de restricción.

La información compartida por los medios especializados como People y TMZ no detallan sobre la posesión de pornografía infantil.

Según People y TMZ, las primeras acusaciones de agresión física en su contra surgieron a raíz de las declaraciones emitidas por la estrella de “Modern Family“, Sarah Hyland de 33 años de edad durante su discurso al haber aceptado el premio Courage Award de Variety.

Aseguró ser una sobreviviente de abuso doméstico luego de revelar que en mayo de 2014 este intentó atropellarla con su automóvil, así como estrangularla. Además, destacó que en una ocasión Prokop amenazó con quemar su casa y hacerle daño a su perro.

Ambos sostuvieron una relación amorosa de cinco años, la cual, Hyland afirmó que la violencia experimentada en ella “marcó su alma”. En ese mismo año, con ayuda de una de sus compañeras de la serie, Julie Bowen, terminó con él e interpuso una orden de restricción en su contra. 

En ese sentido, este arresto, según People, fue confirmado por uno de los empleados de dicha institución, quien además les aseguró que aún se desconoce la fecha en la que deberá comparecer ante un tribunal. 

Estamos presenciando en directo cómo lo que empezó como una ofensiva contra las emisiones no autorizadas de partidos se ha transformado en algo mucho más amplio, una disputa sobre quién puede decidir qué partes de internet se apagan y cómo se hace. En Italia y en España se están ordenando bloqueos a nivel de red que, tal y como se están aplicando ahora, pueden no distinguir entre un servicio infractor y otros legítimos que comparten infraestructura. Este escenario ha puesto en primer plano a Cloudflare, una compañía cuyo nombre lleva tiempo colándose en la conversación tecnológica.

Aquí debemos ser claros. Lo que une a los casos de Italia y España no es el tipo de contenido, sino la lógica que los sostiene: para frenar la difusión no autorizada de partidos se ha optado por actuar allí donde la red se vuelve vulnerable, en los intermediarios que conectan al público con los servidores. Se trata de una estrategia permite bloquear rápido y con alcance masivo, pero también tiene daños colaterales.

Detrás de cada bloqueo hay una secuencia clara. En España, la Justicia ha dado cobertura legal al mecanismo. En la actualidad, es LaLiga quien identifica las direcciones y los proveedores de acceso quienes ejecutan los bloqueos. Si hablamos de Italia, los titulares de derechos introducen dominios e IP en Piracy Shield y es AGCOM, el regulador italiano de telecomunicaciones y medios, quien revisa esas señalizaciones y las convierte en órdenes administrativas que deben aplicar los proveedores.

Cuando se ordena un bloqueo, no se está diciendo simplemente “cerrad esta página”, está eligiendo en qué punto del recorrido se interrumpe la conexión entre el usuario y el servidor, de acuerdo a los límites que establece la legislación vigente. Puede hacerse impidiendo que el nombre de la web se traduzca a una dirección técnica, bloqueando directamente esa dirección o pidiendo a un intermediario que deje de servir los datos.

En ese recorrido invisible hay una pieza especialmente sensible, el sistema que traduce los nombres de las webs en direcciones técnicas que los ordenadores pueden entender. Cada vez que escribimos una URL o tocamos un enlace, un resolvedor DNS responde con la IP correcta para que la conexión pueda establecerse. Si esa traducción se interrumpe, la página deja de ser accesible aunque el servidor siga funcionando. Por eso el DNS se ha convertido en una palanca muy atractiva para los bloqueos, porque permite cortar el acceso de forma rápida y sin tocar directamente el contenido.

Qué es 1.1.1.1 y por qué está en el centro. Entre los muchos servicios DNS que existen hay algunos abiertos al público que no pertenecen a ningún operador nacional, y el más conocido es 1.1.1.1, gestionado por Cloudflare. Funciona como un resolvedor DNS público de uso masivo al que usuarios y aplicaciones recurren para traducir nombres de dominio en direcciones IP. Esa escala es lo que lo hace especialmente sensible en este debate, porque cualquier intervención sobre él no se limita a un país ni a una red concreta, sino que puede tener efectos mucho más amplios.

Un módem con cables de red

La empresa explica desde hace años que puede cumplir órdenes judiciales que le obligan a actuar sobre clientes concretos o sobre su red de distribución, porque ahí sí está controlando un servicio propio dentro de una jurisdicción. Lo que rechaza es modificar herramientas abiertas como su DNS público por decisiones administrativas de un solo país. En su planteamiento, eso supondría que una autoridad nacional pudiera cambiar cómo funciona una pieza básica de internet para usuarios de todo el mundo.

Italia, el sistema Piracy Shield y polémicas. El modelo italiano no corta solo páginas individuales, sino piezas enteras de la ruta por la que circula el tráfico. A través de Piracy Shield se ordena bloquear dominios e IP y, según el propio regulador, el marco también incluye expresamente a servicios de DNS públicos, como 1.1.1.1, y proveedores de VPN como sujetos obligados cuando están implicados en la accesibilidad de esos contenidos.

Mapa de la red global de Cloudflare

El problema no es solo que el sistema bloquee mucho, sino cómo lo hace y con qué margen de rectificación. Su lógica de reacción rápida prioriza cortar el acceso mientras el evento está ocurriendo, y eso aumenta el riesgo de afectar a terceros cuando se actúa sobre piezas compartidas de la red. AGCOM cita como balance que desde febrero de 2024 se han deshabilitado más de 65.000 FQDN, es decir, nombres de dominio completos y unas 14.000 IP.

Ese choque tomó forma concreta a finales de 2025. En una decisión adoptada el 29 de diciembre y notificada recientemente, AGCOM impuso a Cloudflare una sanción de más de 14 millones de euros por no haber cumplido una orden previa emitida el 18 de febrero de 2025. Según el regulador, la empresa debía desactivar la resolución DNS de determinados dominios y el enrutamiento del tráfico hacia direcciones IP señaladas a través de Piracy Shield, o aplicar medidas equivalentes para impedir que los usuarios accedieran a esos contenidos.

España, el camino judicial. Como mencionamos arriba, en España el sistema no se apoya en un regulador administrativo, sino en una resolución de un juzgado mercantil obtenida por LaLiga. El 18 de diciembre de 2024, el Juzgado de lo Mercantil nº 6 de Barcelona autorizó medidas de bloqueo contra direcciones utilizadas para retransmitir partidos sin derechos. El 26 de marzo de 2025, ese mismo tribunal rechazó las impugnaciones y dejó la orden en vigor. Eso es lo que permite que los operadores de acceso ejecuten estos bloqueos durante los partidos. 

La forma en que esa orden se ejecuta en la práctica explica muchas de las quejas que han surgido en España. Los proveedores de acceso bloquean direcciones IP completas, no solo dominios concretos. Este mecanismo explica por qué tantos servicios legítimos acaban arrastrados por estos bloqueos. En lugar de desactivar un dominio concreto, los operadores cortan una dirección IP completa, que suele ser compartida por cientos o miles de webs. Es un poco como tapiar la entrada de un edificio porque en uno de sus apartamentos se produce una infracción, aunque la mayoría de los inquilinos no tenga relación alguna con ella.

En Italia, Cloudflare recibe órdenes de bloqueo, en España no. En Italia, Cloudflare recibe órdenes y multas de frente. En España, como hemos visto, el impacto llega de forma indirecta. Los bloqueos se ejecutan a través de los operadores de internet, pero las listas de direcciones que se bloquean suelen incluir IP que forman parte de la red de Cloudflare, afectando también a sus clientes.

Una amenaza sobre la mesa. La sanción de AGCOM ha escalado hasta convertirse en un choque público entre regulador y proveedor de infraestructura, con Cloudflare amenazando con retirar sus servidores del país, suspender servicios gratuitos, incluidos los que presta sin coste vinculados a los Juegos Olímpicos 2026, y replantear inversiones. Matthew Prince, CEO de Cloudflare, ha dicho que la compañía viajará a Washington para plantear el caso ante funcionarios de la administración de Estados Unidos.

Imágenes | Xataka con Gemini 3 Pro | Cloudflare | Stephen Phillips

En Xataka | “Vaya servicio, ¿pago por esto?”: así es como los bloqueos masivos de IPs de LaLiga están provocando daños reputacionales y económicos