¿Qué es el PUI (Plataforma Única de Identidad)?
El PUI (Plataforma Única de Identidad) es un sistema tecnológico gubernamental de interoperabilidad bidireccional, diseñado específicamente para permitir el cruce de información en tiempo real entre las bases de datos del Estado y las del sector privado. Su objetivo es la búsqueda, localización e identificación de personas desaparecidas o no localizadas en México, utilizando como ancla de rastreo la Clave Única de Registro de Población (CURP).
Para un Oficial de Cumplimiento (Compliance Officer), comprender qué es el PUI significa reconocer un cambio drástico en la regulación de protección de datos y prevención de delitos: la autoridad ya no solicita reportes manuales esporádicos. Ahora, exige que las empresas abran canales de comunicación automatizados (vía API) que el gobierno pueda consultar de manera permanente para detectar si una persona con estatus de desaparecida realiza algún trámite o movimiento corporativo
¿Para qué sirve el PUI en el ecosistema normativo?
El propósito central del PUI es emitir alertas inmediatas a las autoridades, como la Secretaría de Gobernación (SEGOB), el Centro Nacional de Inteligencia (CNI) y las Fiscalías. Sirve para rastrear el uso de la identidad de un individuo sin comprometer el sigilo de las investigaciones.
Si una persona reportada como desaparecida intenta abrir una cuenta bancaria, abordar un vuelo, darse de alta en una clínica o registrarse en una plataforma Fintech, el sistema interno de la empresa debe notificar automáticamente la coincidencia (hit) a la plataforma gubernamental para que las autoridades actúen. La empresa no investiga el caso; únicamente reporta la trazabilidad del dato al detectar el uso de la CURP.
¿Por qué tu institución debe cumplir con el PUI ya mismo?
La prórroga para la adopción de infraestructuras críticas RegTech en México ha terminado. Postergar la interconexión con la Plataforma Única de Identidad no es un problema de «mañana»; es un riesgo latente que puede congelar la operación de tu negocio hoy mismo. La CNBV y el SAT han intensificado las auditorías de supervisión tecnológica, enfocándose prioritariamente en las capacidades de interconexión y en el rastreo automatizado de alertas de cumplimiento.
El verdadero punto de dolor para los Directores Generales (CEOs) y Oficiales de Cumplimiento radica en el impacto sobre el core bancario. La normativa exige que las instituciones tengan la capacidad técnica de ejecutar búsquedas exhaustivas e históricas. Si tu core tecnológico no está optimizado a través de una API especializada, una sola consulta masiva ordenada por la autoridad puede saturar tus servidores, ralentizar tu plataforma transaccional de cara al cliente final o, peor aún, generar omisiones de búsqueda que deriven en Multas. La velocidad de respuesta ante un requerimiento del PUI mide directamente el nivel de madurez operativa de tu área de Compliance.
¿Cuáles son los sectores empresariales obligados a la interconexión?
La interconexión no es opcional. El artículo 12 Bis, fracción V, de la Ley General en Materia de Desaparición Forzada de Personas (LGMDFP) establece que cualquier particular cuya base de datos sea útil para la investigación está obligado a conectarse al PUI. Esto incluye transversalmente a los siguientes sectores:
- Sector Financiero: Bancos de formato múltiple, SOFOMES, casas de cambio, uniones de crédito, fondos de inversión, afores, transmisores de dinero y el ecosistema Fintech (Instituciones de Tecnología Financiera).
- Salud y Asistencia Privada: Clínicas, hospitales, laboratorios y establecimientos residenciales de atención a adicciones.
- Telecomunicaciones y Transporte: Proveedores de internet, telefonía, aerolíneas, paquetería y servicios de entrega.
- Educación y Laboral: Registros patronales, bases de datos de seguridad social, instituciones académicas y asociaciones religiosas.
Marco normativo: Fechas de decreto y plazos críticos
El marco legal que sustenta al PUI ha establecido plazos muy agresivos para la adaptación corporativa:
- 16 de julio de 2025 (Decreto de Reforma): Se reforma la LGMDFP, momento en el que nace oficialmente la obligación ineludible para las instituciones de interconectarse con la PUI.
- 27 de noviembre de 2025 (Lineamientos PUI): Publicación en el DOF de las disposiciones que establecen los mecanismos mínimos de seguridad, gestión de accesos y procedimientos generales.
- 23 de enero de 2026 (Manual Técnico v1.0): Publicación del documento definitivo que dicta la arquitectura obligatoria: Endpoints, estructuras JSON, autenticación JWT, cifrado biométrico, ciberseguridad y anexos técnicos.
- 31 de marzo de 2026 (Plazo de inscripción): ESTATUS: VENCIDO (Riesgo Activo). Fue la fecha límite para que los representantes legales completaran su registro oficial de Persona Moral en Llave MX y habilitaran el buzón de notificaciones. Las empresas que omitieron este paso ya se encuentran en incumplimiento normativo.
- Plazo de conexión técnica: ESTATUS: PRÓXIMO A VENCER. Es el límite crítico actual para ejecutar el despliegue técnico del Webhook, realizar la entrega formal de los reportes de ciberseguridad (SAST, DAST y SCA) ante la ATDT, y superar con éxito las pruebas de conectividad en el ambiente Sandbox.
- Manual de operación v1.0: ESTATUS: PENDIENTE. Se encuentra a la espera de publicación el documento final que definirá las reglas operativas finas sobre cómo se tratarán las coincidencias y los criterios de validación definitivos para el pase a ambiente productivo.
¿Cuál es la diferencia entre desarrollar la conexión PUI in-house y usar RegTech?
Cuando un Comité de Dirección evalúa cómo resolver este mandato legal, suele caer en la trampa de considerar que su equipo de TI interno puede desarrollar la conexión de forma económica. Sin embargo, construir una integración de nivel gubernamental desde cero implica costos ocultos masivos, mantenimiento perpetuo de endpoints y desviar al talento técnico de los objetivos comerciales del negocio.
A continuación, se presenta un análisis comparativo que evalúa las diferencias críticas entre la construcción propia (In-house) y la implementación de un software especializado RegTech:
| Criterio de Evaluación | Desarrollo Propio (In-house) | Uso de Software Especializado (RegTech) |
| Time-to-Market | De 6 a 12 meses (Fases de diseño, desarrollo, pruebas de estrés y certificación). | Despliegue inmediato (Configuración e integración en semanas vía API documentada). |
| Mantenimiento de Endpoints | Alto costo. El equipo interno debe programar parches cada vez que la autoridad actualiza la estructura. | Absorbido por el proveedor. Actualizaciones automáticas y transparentes sin detener la operación. |
| Ancho de Banda de TI | Saturación total. Los desarrolladores abandonan el roadmap principal para atender compliance. | Cero fricción. TI solo consume una API limpia; el enfoque permanece en el negocio. |
| Garantía de Ciberseguridad | Riesgo si el personal interno no domina auditorías SAST/DAST y criptografía gubernamental. | Certificaciones y entornos de alta seguridad pre-auditados listos para conectar. |
| Costos Operativos (OpEx) | Costo inicial engañoso, pero OpEx elevado e impredecible a largo plazo por soporte y servidores. | Costo predecible y escalable basado en el volumen de consultas de la institución. |
Requisitos técnicos para la integración operativa
Para cumplir con la regulación, el Oficial de Cumplimiento debe coordinar la implementación de una arquitectura robusta. Los requerimientos mínimos dictados por el Manual Técnico incluyen:
- Infraestructura API REST bidireccional: La empresa no solo consume datos, sino que debe exponer obligatoriamente cuatro servicios web seguros en su propia infraestructura: /login, /activar-reporte, /activar-reporte-prueba y /desactivar-reporte. A su vez, deberá notificar sus hallazgos a los endpoints del gobierno (como /notificar-coincidencia y /busqueda-finalizada). Toda la comunicación debe realizarse estrictamente en formato raw-JSON codificado en UTF-8.
- Eliminación de VPNs (Eficiencia en TI): A diferencia de infraestructuras bancarias antiguas, el PUI establece que no es necesario implementar conexiones VPN. La seguridad se rige enteramente por protocolos modernos (TLS y Tokens), agilizando drásticamente la integración.
- Identidad Digital Institucional: El representante legal debe ingresar a Llave MX con sus credenciales ciudadanas, crear el perfil de Persona Moral, cargar los archivos de la e.Firma de la institución e integrar la información complementaria para habilitar el buzón de notificaciones. Nota crítica: Este registro administrativo no habilita la operatividad; se requiere el desarrollo de los endpoints y superar pruebas de seguridad antes de pasar a producción.
Fases de búsqueda y periodicidad de ejecución
Uno de los mayores retos operativos para los servidores de la empresa es soportar el volumen de consultas del PUI. Según el Manual Técnico, los desarrollos de TI deben estructurar las consultas en tres fases estrictas:
- Fase 1: Búsqueda para completar datos básicos (Inmediata): Al recibir un nuevo reporte, el sistema de la empresa debe ejecutar una consulta para buscar coincidencias recientes con la CURP y remitir los datos más recientes disponibles (domicilio, contacto, biometría).
- Fase 2: Búsqueda histórica: El sistema debe consultar el historial de operaciones de la persona reportada. La regulación exige que la base de datos se rastree con una profundidad máxima de hasta los últimos 12 años. Una vez concluida esta búsqueda, independientemente de si hubo o no coincidencias, la empresa debe reportar la conclusión al gobierno mediante el endpoint /busqueda-finalizada.
- Fase 3: Búsqueda continua (Periódica automatizada): La empresa debe mantener el registro y revisar periódicamente si hay registros nuevos o modificados en la base de datos corporativa. Las frecuencias típicas sugeridas pueden ser cada hora, cada cuatro horas o una vez al día. Lo fundamental es que este ciclo se ejecute ininterrumpidamente mientras el caso de desaparición esté activo.
Medidas de ciberseguridad y reportes de auditoría
Al interconectar bases de datos privadas con el gobierno, la ciberseguridad es auditada estrictamente. El Manual Técnico impone los siguientes controles para las instituciones diversas:
- Autenticación JWT y Criptografía en Tránsito: Cada petición debe validarse mediante un JSON Web Token (JWT) utilizando el esquema Bearer. Toda la capa de transporte debe operar sobre HTTPS con certificados TLS 1.2 o superior.
- Cifrado Estricto de Biometría: Si se dispone de fotografías, deben tener una resolución mínima de 300 ppi y un peso máximo de 240KB. Las huellas dactilares requieren un mínimo de 500 ppi, forzosamente en escala de grises de 8 bits. Ambos activos deben convertirse a Base64 y cifrarse con el algoritmo AES-256-GCM utilizando una contraseña para biométricos proporcionada exclusivamente a la institución.
- Pruebas de Seguridad (Vulnerability Assessment): Para que la autoridad autorice la conexión, la institución debe enviar reportes oficiales de pruebas SAST (Static Application Security), DAST (Dynamic Application Security) y SCA (Software Composition Analysis), demostrando que sus endpoints y URL Base están libres de vulnerabilidades.
- Logs Auditables: La institución debe mantener bitácoras (logs) inalterables que registren todas las solicitudes recibidas, consultas internas y respuestas enviadas, con un mecanismo de resincronización ante caídas del servidor.
Sanciones por incumplimiento normativo (UMAs y MXN)
Las consecuencias por ignorar esta integración impactan severamente las finanzas y la reputación de la institución. El Artículo 43 Bis de la LGMDFP tipifica las infracciones de los particulares por omisión o entorpecimiento.
Considerando que el valor diario de la Unidad de Medida y Actualización (UMA) para 2026 es de $117.31 MXN, las multas se desglosan de la siguiente manera:
| Supuesto de Infracción | Sanción en UMA | Equivalente en MXN (2026) |
| No permitir acceso o no proporcionar información requerida | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
| No mantener actualizada la información | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
Esto significa que un error de conectividad API, una falla en la periodicidad de búsqueda o la simple omisión de interconexión pueden costar más de 2 millones de pesos por infracción, sin descartar las responsabilidades penales aplicables por obstrucción a la justicia en un tema de derechos humanos.
Pasos estratégicos para una interconexión exitosa
Para evitar sanciones y mitigar riesgos antes del vencimiento oficial, el área de Compliance debe seguir esta ruta crítica:
- Auditoría de Datos Identificativos: Reconocer qué datos (CURP, RFC, biométricos) almacena la empresa y en qué silos de información se encuentran alojados.
- Evaluación de Infraestructura (Estrés): Determinar si los servidores actuales soportan el volumen de consultas de la búsqueda histórica de 12 años y la frecuencia de la búsqueda continua sin afectar el core bancario.
- Análisis del Modelo de Desarrollo (In-house vs. Terceros): Es fundamental evaluar si el equipo interno de TI tiene el ancho de banda para desarrollar los 4 endpoints obligatorios, ejecutar las auditorías SAST/DAST y manejar la criptografía AES-256-GCM exigida. Optar por un aliado tecnológico RegTech acelera drásticamente el time-to-market y transfiere la carga operativa.
- Despliegue y Pruebas Reales: Programar los accesos, validar la autenticación y ejecutar el flujo en el entorno de pruebas de la autoridad consumiendo el endpoint /activar-reporte-prueba para asegurar la conectividad perfecta antes del pase a producción.
Preguntas frecuentes (FAQs)
¿Qué es el PUI (Plataforma Única de Identidad)?
Es un ecosistema tecnológico que conecta las bases de datos del gobierno y del sector privado a través de una API. Sirve para rastrear y localizar en tiempo real a personas desaparecidas mediante alertas automatizadas vinculadas a su CURP.
¿Para qué sirve el PUI en el ecosistema normativo y corporativo?
Sirve para unificar los registros de seguridad, mitigar el riesgo de suplantación de identidad y dotar a las empresas de un control proactivo en su debida diligencia.
¿Por qué tu institución debe cumplir con el PUI ya mismo?
Porque las auditorías de la CNBV son inmediatas y la falta de interconexión satura los cores bancarios no optimizados, elevando el riesgo de multas e inmovilización operativa.
¿Cuáles son las 3 fases de búsqueda del PUI?
Se dividen en: Fase 1 (Búsqueda inmediata para completar datos básicos), Fase 2 (Búsqueda histórica de los últimos 12 años) y Fase 3 (Búsqueda continua y periódica sobre nuevos registros).
¿Qué empresas están obligadas a conectarse al PUI?
Toda institución privada que administre datos personales útiles para la localización. Destacan: bancos, SOFOMES, Fintech, aseguradoras, hospitales, aerolíneas, empresas de transporte terrestre, universidades y registros patronales.
¿Cuál es la diferencia entre desarrollar la conexión PUI in-house y usar RegTech?
El desarrollo propio tarda meses, satura al equipo de TI y genera altos costos de mantenimiento; el RegTech ofrece despliegue inmediato, costos estables y actualizaciones automáticas.
¿Cuál es la fecha límite para la integración tecnológica al PUI?
La fecha de vencimiento crítico para que las empresas soliciten su inscripción tecnológica en el portal es el 31 de marzo de 2026, justo 45 días hábiles tras la publicación de los manuales de la plataforma.
¿De cuánto es la multa por no conectarse al PUI en 2026?
Las sanciones impuestas por no proporcionar información al sistema gubernamental o no mantenerla actualizada van de 10,000 a 20,000 UMAs. Esto equivale a multas de entre $1,173,100 y $2,346,200 pesos mexicanos por infracción.
Fuentes consultadas:
- Secretaría de Gobernación / RENAPO. (2026). Manual Técnico de la Solución Tecnológica para Instituciones Diversas. Diario Oficial de la Federación.
- Cámara de Diputados. (2025). Ley General en Materia de Desaparición Forzada de Personas. Diario Oficial de la Federación. Recuperado de https://www.diputados.gob.mx/LeyesBiblio/pdf/LGMDFP.pdf
- Instituto Nacional de Estadística y Geografía (INEGI). (2026). Actualización de la Unidad de Medida y Actualización (UMA). Gobierno de México.
