Por Ghaleb Krame*/Ignacio Gómez Villaseñor/Mr. Cívico

° Análisis del nuevo calendario de la CRT, puntos críticos de continuidad y rutas de mitigación para el usuario que no desea vincular su línea al padrón nacional

Resumen ejecutivo

El registro obligatorio de líneas móviles vinculado a la CURP es una decisión de política pública que concentra la identidad de cada usuario en un padrón nacional. No registrar la línea es una opción legal y una postura de privacidad legítima, sostenida por un antecedente relevante: el mismo Estado que exige el registro ha demostrado incapacidad reiterada para proteger sus bases de datos.

Esta guía cumple tres funciones. Primero, corrige la información obsoleta sobre el supuesto apagón del 1 de julio, sustituida por una prórroga escalonada oficial. Segundo, expone los puntos críticos de continuidad operativa (banca, mensajería, aplicaciones georrestringidas) con honestidad técnica. Tercero, ofrece rutas de mitigación concretas para permanecer plenamente operativo sin alimentar el padrón.

Cambio normativo relevante. El 30 de junio de 2026, la CRT publicó en el Diario Oficial de la Federación modificaciones a los Lineamientos que cancelan la fecha única del 30 de junio y establecen un calendario escalonado por último dígito de la línea, con plazos entre agosto y diciembre de 2026. Toda planeación previa basada en el apagón del 1 de julio queda sin efecto.

1. El nuevo calendario: se cae el apagón del 1 de julio

La premisa de un corte único el 1 de julio quedó cancelada. El Pleno de la CRT publicó el Acuerdo P/CRT/EXT/25062026/084, con modificaciones a los Lineamientos para la Identificación de Líneas Telefónicas Móviles difundidas en el DOF el 30 de junio de 2026.

El acuerdo sustituye el corte masivo por una prórroga escalonada según el último dígito del número. Las fechas fatales quedaron así:

Vencido el plazo de cada dígito, los operadores disponen de hasta 72 horas para deshabilitar el servicio de las líneas no vinculadas. Durante la suspensión solo quedan disponibles llamadas a emergencias, atención ciudadana y a la propia compañía, además de alertas sísmicas.

Implicación práctica. El plazo real depende del último dígito de tu número. No hay un apagón general el 1 de julio: hay diez fechas distintas entre agosto y diciembre. Identifica tu dígito y planifica sobre esa fecha, no sobre información caduca.

2. El origen real de la prórroga: el fracaso de las cifras

Conviene decirlo sin adornos. La prórroga no responde a una concesión de privacidad, sino al bajo cumplimiento del registro. Al 25 de junio, la CRT reportó 63 millones de líneas vinculadas de un universo de 144.5 millones: apenas el 43 por ciento. Más de la mitad del país quedaba sin registrar a días del plazo original.

La propia CRT admitió que las modificaciones se aprobaron sin consulta pública, con el argumento de que un corte simultáneo habría suspendido millones de líneas a la vez y comprometido la operación de las redes. En otras palabras, el escalonamiento administra un fracaso de cumplimiento, no un rediseño garantista.

El truco del pospago automático. Para maquillar las cifras, las líneas de pospago se vincularon de forma automática, con el argumento de que el operador “ya tenía los datos del contrato”. Los Lineamientos originales, publicados el 9 de diciembre de 2025, no estipulaban esa vinculación automática del pospago: se incorporó al constatar que las metas no se cumplirían. De los 63 millones vinculados, 22.8 millones son pospago incorporado por esta vía, no por trámite activo del usuario.

Este dato importa para el lector con plan pospago: es probable que su línea ya figure como vinculada sin que haya realizado gestión alguna. Verificarlo es el primer paso de cualquier decisión informada.

3. La ruta legal: eSIM internacional de solo datos

Existe una vía legal para mantener conectividad de datos sin vincular la CURP: las eSIM internacionales de solo datos, como Airalo, Holafly, Roafly o MiSimCard.

El fundamento es claro. Estos proveedores no son concesionarios mexicanos; conectan al usuario a las redes locales mediante acuerdos de roaming internacional. Al operar bajo roaming, quedan fuera del alcance del padrón nacional. No hay evasión: la regulación aplica a los operadores que prestan servicio dentro del territorio, no a un proveedor extranjero.

La activación es digital, por código QR o app, en minutos, y la mayoría no exige verificación de identidad (eKYC). El pago se realiza con tarjeta o PayPal.

Ventaja y limitación estructural

La ventaja es sustantiva: datos privados, sin exposición de identidad al padrón. La limitación es una y es determinante: estas eSIM de datos no asignan un número mexicano (+52). Entregan internet, no una línea telefónica local.

Esa ausencia de +52 genera fricciones concretas que se abordan en las secciones 5 y 6. Deben resolverse antes de desactivar la línea mexicana, no después.

Requisitos previos. (1) Dispositivo compatible con eSIM: iPhone XR/XS o posterior; Pixel 3a o posterior; Galaxy S20/Note20 o posterior. (2) Equipo liberado de fábrica; los teléfonos financiados por una operadora suelen estar bloqueados. (3) Adquirir y activar la eSIM mientras la línea actual aún tiene datos.

Ligas oficiales

• Airalo:

https://www.airalo.com

• Holafly (México):

https://esim.holafly.com/esim-mexico

• Saily (foco en privacidad):

https://saily.com

4. Estrategia recomendada: Dual SIM y perfiles de riesgo

Para la mayoría de los usuarios, la decisión óptima no es binaria. Los teléfonos modernos admiten dos líneas activas, lo que permite una arquitectura híbrida. Se identifican tres perfiles.

Perfil resistencia. Ninguna línea mexicana registrada. Datos por eSIM internacional y un número virtual VoIP para llamadas y SMS puntuales. Privacidad máxima; mayor esfuerzo de configuración en banca y mensajería.

Perfil híbrido. Una sola línea de prepago registrada, dedicada exclusivamente a recibir códigos bancarios, y todo el tráfico e identidad digital en la eSIM internacional y Signal. Cesión mínima de datos al padrón con fricción operativa baja. Es el punto de equilibrio para la mayoría.

Perfil bajo perfil. Si la dependencia del SMS bancario es total e inmigrable, se registra la línea, pero se blinda el resto: mensajería cifrada, huella de datos mínima. Registrar la línea no obliga a renunciar a la privacidad del contenido.

5. Número sin CURP: opciones VoIP y su límite real

Para quien opta por no registrar, un número virtual sobre internet (VoIP) cubre la necesidad de llamadas y SMS. Funciona sobre datos y entrega un número, generalmente de Estados Unidos o Canadá, sin identidad mexicana.

El muro del bloqueo geográfico (+52). Un número virtual extranjero no resuelve todos los casos. Numerosas aplicaciones de servicios, movilidad y entrega en México operan bajo restricciones geográficas y exigen exclusivamente un número +52. La banca es el caso más rígido: por políticas de prevención de lavado de dinero, la mayoría de las instituciones rechaza números internacionales para sus alertas y validaciones. Antes de desactivar el chip mexicano, es indispensable auditar las aplicaciones críticas y confirmar cuáles aceptan número extranjero.

Ligas oficiales

• Google Voice:

https://voice.google.com

• TextNow:

https://www.textnow.com

• Tello:

https://tello.com

6. Plan de eliminación del SMS: auditoría de 2FA

El punto crítico de continuidad no es solo el banco. Es toda cuenta que use el SMS como segundo factor de autenticación (2FA). El objetivo, antes de perder la línea, es eliminar por completo el SMS como método de verificación en el ecosistema digital del usuario.

El procedimiento es una auditoría, no una acción aislada:

1. Inventario. Elabora una lista completa de cuentas con 2FA por SMS: banca, correos, redes sociales, plataformas de trabajo, servicios de movilidad y entrega.

2. Migración a app de autenticación. Donde se permita, sustituye el SMS por una aplicación TOTP: Google Authenticator, Microsoft Authenticator o Aegis. Es más seguro, pues no viaja por la red telefónica ni es vulnerable a intercepción.

3. Derivación a correo. Donde no exista app, deriva la validación al correo electrónico como segundo factor.

4. Verificación. Confirma el acceso a cada cuenta con el nuevo método antes de continuar. Ninguna cuenta debe quedar dependiente del SMS.

Secuencia obligatoria. Ejecuta esta auditoría mientras la línea aún funciona. Migra el 2FA, verifica el acceso y solo entonces deja vencer la línea. Invertir el orden equivale a quedar bloqueado del propio banco y de las cuentas críticas.

Existen alternativas de máxima seguridad, como las llaves físicas tipo YubiKey (hard tokens). No se recomiendan como opción principal para el público general, ya que añaden complejidad; se mencionan solo como referencia para perfiles avanzados.

7. Balance: costos y beneficios

Beneficios

• Privacidad. La identidad no ingresa a un padrón centralizado de vulnerabilidad demostrada.

• Coherencia. La desconfianza ciudadana se traduce en acción, ejerciendo un derecho legal.

• Menor exposición. Ante una eventual filtración del padrón, el usuario no registrado no figura en él.

Costos

• Económico. La eSIM internacional (~9 a 69 USD según uso) supera el costo de un prepago local (150 a 300 pesos mensuales).

• Configuración inicial. La auditoría de 2FA, la migración de mensajería y la obtención de número virtual requieren una sesión de trabajo cuidadosa.

• Fricción por +52. Aplicaciones y banca georrestringidas seguirán exigiendo número mexicano; es la principal limitación práctica.

• Incertidumbre regulatoria. La CRT podría regular a futuro el roaming internacional permanente. Hoy la vía es legal y está abierta.

Recomendación de consultoría. Si la dependencia del SMS bancario es total, el perfil híbrido (una línea mínima registrada solo para el banco, el resto en eSIM internacional y Signal) ofrece la mayor privacidad viable con la menor fricción. Si la banca admite migración de 2FA y las aplicaciones críticas aceptan número extranjero, la combinación de eSIM de datos y número virtual permite operar sin ceder datos al padrón. En ambos escenarios, la mensajería debe migrar a Signal para proteger el contenido de las comunicaciones.

8. Lista de verificación operativa

Ejecutar en orden, mientras la línea actual conserva señal y datos:

1. Identifica el último dígito de tu línea y su fecha límite en el calendario de la sección 1.

2. Si tienes pospago, verifica si tu línea ya fue vinculada automáticamente.

3. Confirma compatibilidad eSIM y que el equipo esté liberado.

4. Audita tus aplicaciones críticas: identifica cuáles exigen +52 y cuáles aceptan número extranjero.

5. Activa una eSIM internacional de datos y verifica la navegación.

6. Obtén un número virtual estable si requieres llamadas o SMS.

7. Ejecuta la auditoría de 2FA: migra todo el SMS a app de autenticación o correo, y verifica el acceso.

8. Migra la mensajería a Signal; si conservas WhatsApp, vincúlalo a un número estable con verificación en dos pasos activa.

9. Revincula movilidad, entrega y trámites al número que corresponda.

10. Solo con todo verificado, deja vencer la línea no registrada.

Herramientas (ligas oficiales)

• Signal:

https://signal.org

• Aegis Authenticator (2FA, código abierto):

https://getaegis.app

• Google Authenticator:

https://support.google.com/accounts/answer/1066447

• Airalo:

https://www.airalo.com

• Google Voice:

https://voice.google.com

AVISO LEGAL Y DESLINDE DE RESPONSABILIDAD

Naturaleza informativa. Este documento tiene fines exclusivamente informativos, educativos y de análisis de política pública. No constituye asesoría legal, fiscal, financiera, técnica ni de seguridad, ni crea relación profesional, contractual o de patrocinio alguna entre los autores y el lector. Para cualquier decisión con efectos jurídicos o patrimoniales, consulte a un abogado, contador o asesor debidamente autorizado en México.

Vigencia y fuente normativa. La información regulatoria se basa en el Acuerdo P/CRT/EXT/25062026/084 y en las modificaciones a los Lineamientos para la Identificación de Líneas Telefónicas Móviles publicadas en el Diario Oficial de la Federación el 30 de junio de 2026, así como en fuentes periodísticas y oficiales disponibles a la fecha de cierre. La normatividad mexicana en materia de telecomunicaciones, protección de datos y seguridad puede cambiar sin previo aviso. El lector es responsable de verificar el texto vigente en el DOF y en los canales oficiales de la Comisión Reguladora de Telecomunicaciones (CRT) antes de actuar. Se recomienda consultar la fuente primaria en: dof.gob.mx y crt.gob.mx

Legalidad de las opciones descritas. A la fecha de este documento, no vincular una línea al padrón es una conducta lícita cuya única consecuencia legal prevista es la suspensión del servicio conforme al calendario oficial; el uso de servicios de eSIM internacional bajo esquemas de roaming y de numeración virtual (VoIP) extranjera es igualmente lícito. Nada en esta guía debe interpretarse como incitación a evadir obligaciones legales, fiscales o regulatorias, ni a falsear información ante autoridades u operadores. Los autores no promueven el anonimato con fines ilícitos y rechazan cualquier uso de esta información para la comisión de delitos.

Servicios de terceros. Las menciones a proveedores, aplicaciones o herramientas (operadores de eSIM, servicios VoIP, aplicaciones de autenticación, mensajería y demás) son referencias informativas y no implican recomendación, aval, garantía ni relación comercial. Los autores no perciben comisión por dichas menciones. Cada servicio se rige por sus propios términos, precios, cobertura y políticas de privacidad, que el lector debe revisar y aceptar bajo su exclusiva responsabilidad. La disponibilidad, compatibilidad y desempeño de estos servicios no están garantizados.

Riesgos de continuidad. La migración de líneas, factores de autenticación (2FA), banca en línea, mensajería y aplicaciones críticas conlleva riesgo de pérdida de acceso a cuentas, servicios financieros o comunicaciones. El lector asume íntegramente ese riesgo. Los autores no serán responsables, en la máxima medida permitida por la legislación mexicana, por daño, perjuicio, pérdida económica, bloqueo de cuentas, interrupción de servicios ni consecuencia alguna, directa o indirecta, derivada del uso o interpretación de este documento.

Protección de datos y uso lícito. El lector es el único responsable del tratamiento de sus propios datos personales y del cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y demás disposiciones aplicables. Esta guía no debe emplearse para vulnerar derechos de terceros, eludir la ley ni obstruir investigaciones legítimas realizadas por autoridad competente conforme al Código Nacional de Procedimientos Penales.

Aceptación. Al utilizar la información aquí contenida, el lector reconoce haber leído y comprendido este aviso y acepta actuar bajo su propio criterio y responsabilidad.

Documento actualizado al 1 de julio de 2026.

#ReporteKrame · #Inteligencia ·#Privacidad

Anexo. Contexto de vigilancia

Esta guía se desprende de un análisis más amplio sobre el mercado de spyware y la arquitectura de vigilancia en México. En síntesis:

• El registro opera sobre la capa de red. Vincula número con identidad y abarata las intercepciones tradicionales. No lee, por sí mismo, comunicaciones cifradas.

• El spyware opera sobre el dispositivo. Herramientas como Pegasus o Predator comprometen el teléfono y leen el contenido en pantalla, incluso en aplicaciones cifradas. Se comercializan por capacidad de objetivos concurrentes y son de uso esencialmente estatal.

• El padrón potencia la puntería del spyware. Una base que cruza número, identidad y ubicación facilita la selección de objetivos. El registro no sustituye al spyware: lo complementa.

• Defensa cotidiana en dos capas. No alimentar el padrón reduce la exposición; cifrar el contenido con Signal lo protege aun si la red o el padrón se comprometen.

*CONTACTO X: https://x.com/GhalebKrame

Tendencias