Una nueva falla de seguridad que fue identificada en la plataforma de Telcel para la vinculación obligatoria de líneas móviles, abre el riesgo de recibir ataques masivos de mensajes SMS, conocidos como SMS bombing, de acuerdo con el desarrollador y especialista en ciberseguridad identificado en X como @tylerwolfx.
Energy21 consultó a Telcel sobre este hallazgo, pero la empresa señaló que estaba consultándolo al interior de sus áreas de ciberseguridad. El SMS bombing o bomba de SMS, es un ataque cibernético que consiste en inundar un número de teléfono con una cantidad masiva de mensajes de texto, cientos o miles en segundos, usando software automatizado para molestar, interrumpir servicios, robar información o generar cargos fraudulentos.
El experto documentó que el diseño del sistema permite enviar hasta un millón de mensajes SMS sin que se activen mecanismos automáticos de bloqueo, alertas o control, lo que, en términos técnicos, representa una debilidad estructural en la arquitectura de la plataforma.
“Descubrí que es extremadamente fácil spamear cualquier línea de Telcel, sin límites ni restricciones. Mientras Telcel no resuelva esto, no puedo confiar en el proceso virtual y lo mejor será esperar hasta los últimos días para hacer la vinculación”, señaló el especialista en su publicación, acompañada de evidencias técnicas.
De acuerdo con su análisis, la vulnerabilidad no sólo compromete la operación del sistema, sino que expone a usuarios y a la propia empresa a posibles campañas de saturación de líneas, afectaciones al servicio y uso malicioso de la red de mensajería.
El señalamiento surge apenas días después de que Telcel reconociera públicamente una primera vulnerabilidad en su plataforma de registro, activada desde el 9 de enero, aunque la empresa negó entonces cualquier filtración de datos personales.
Telcel ya había admitido una falla previa
El pasado 13 de enero, Renato Flores Cartas, subdirector de Comunicación y Relaciones Gubernamentales de América Móvil, explicó que la empresa detectó una “vulnerabilidad técnica” que obligó a suspender el portal durante aproximadamente dos horas para aplicar correcciones conforme a sus protocolos de ciberseguridad.
“Se trató de una vulnerabilidad técnica que fue corregida de inmediato. Hoy el portal es 100% seguro y la información de los clientes está protegida”, afirmó el directivo en entrevista radiofónica.
Según Flores, la falla consistía en que, tras ingresar el número y el código SMS, se podía visualizar información interna relacionada con el desarrollador del sistema, lo que motivó la implementación de capas adicionales de seguridad.
Telcel insistió en que no existían indicios de una fuga de datos personales y negó que se pudiera acceder a información de otros usuarios sin contar con el código enviado al titular de la línea.
Señalamientos en redes persisten
No obstante, las declaraciones de la empresa contrastan con las denuncias realizadas en redes sociales por creadores de contenido y especialistas, quienes aseguran que el sistema sí permitió, en ciertos momentos, el acceso a datos sensibles como nombre completo, RFC, CURP y correo electrónico, lo que habría facilitado la creación de bases de datos para extorsión mediante procesos automatizados.
Ahora, el nuevo hallazgo de @tylerwolfx agrega presión a la empresa, al exhibir que la plataforma podría ser utilizada para ataques de saturación masiva de mensajes sin controles efectivos, lo que amplía el alcance de los riesgos de ciberseguridad asociados al sistema.
El especialista adelantó que la documentación técnica seguirá publicándose, ante la previsión de que la empresa rechace nuevamente los señalamientos.
Telcel informó que, hasta ahora, se han realizado cerca de 200 mil registros en línea, además de los trámites presenciales en más de 4 mil 100 Centros de Atención a Clientes. Sin embargo, la cifra es mínima frente a un universo de más de 60 millones de líneas de la empresa que deberán vincularse antes del 30 de julio, fecha límite establecida por la autoridad.
La Comisión Reguladora de Telecomunicaciones (CRT) ha reconocido que el alto flujo de usuarios ha provocado intermitencias en los sistemas de las compañías telefónicas.
Gobierno exige protección de datos
La Presidenta Claudia Sheinbaum subrayó ayer que corresponde a las empresas de telefonía garantizar la protección de los datos personales de los usuarios, en un país con más de 158 millones de líneas móviles activas.
“El registro es importante para garantizar la seguridad, particularmente en el combate a la extorsión, pero quienes guardan la información son las telefónicas”, afirmó.
Sheinbaum rechazó que el registro tenga fines de vigilancia y aseguró que sólo mediante solicitudes formales de las autoridades se puede acceder a los datos cuando se investiga un delito.
Comenta y síguenos en X: @Adri_Telecom / @Energy21Mx
