¿Qué es la PUI y su Manual Técnico?
La Plataforma Única de Identidad (PUI) es la fuente primaria de consulta permanente y en tiempo real en México, diseñada para interconectarse con bases de datos o registros administrativos que permitan realizar búsquedas continuas entre registros para la localización de personas desaparecidas o no localizadas. El Manual Técnico de la PUI es el marco regulatorio e informático obligatorio (derivado de los Lineamientos publicados el 27 de noviembre de 2025) que dicta cómo las instituciones diversas deben interconectar sus sistemas y bases de datos para automatizar los procesos de intercambio de información y trazabilidad de su operación.
Resumen Corporativo: La interconexión con la PUI no es opcional. Las empresas e instituciones diversas en México deben adecuar su infraestructura tecnológica bajo un esquema de arquitectura API riguroso para ejecutar tres fases de búsqueda obligatorias, garantizando la seguridad de los datos y mitigando el riesgo de sanciones por incumplimiento normativo ante las autoridades.
¿Cuáles son las 3 fases de búsqueda que exige el Manual Técnico de la PUI?
El proceso automatizado que exige el Manual Técnico se estructura en tres etapas secuenciales y obligatorias que todo sistema de prevención, cumplimiento e identidad debe ejecutar. Estas fases garantizan que la consulta no sea un evento aislado, sino un ciclo continuo de control que abarca desde la identificación y complementación inicial del expediente del cliente hasta el monitoreo de su estatus de localización en territorio nacional.
Las tres etapas transitan desde la inmediatez de la consulta inicial al activarse un reporte, pasando por el análisis forense de la información histórica resguardada dentro del límite legal, hasta establecer un canal pasivo de escucha activa mediante webhooks. Ignorar el despliegue de cualquiera de estos tres niveles rompe la cadena de custodia digital y sitúa a la organización en un escenario de incumplimiento normativo grave ante las autoridades competentes.
Fase 1 — Búsqueda Inmediata de Datos Básicos
Esta primera fase, denominada formalmente «Búsqueda para completar datos básicos», se activa de forma automática tras recibir la notificación de la PUI en el endpoint de la institución diversa. Mediante una consulta automatizada en las bases de datos internas, el sistema devuelve los valores más recientes de los campos básicos de los que se disponga (como la CURP, nombre, domicilio, teléfono, correo o biométricos).
La finalidad es completar la ficha de búsqueda de la persona desaparecida o no localizada. El reporte debe notificarse a la PUI mediante el endpoint /notificar-coincidencia con el campo fase_busqueda en valor «1», omitiendo los campos referentes a los datos específicos del evento (como tipo y fecha de evento), debido a que se busca recabar la información general y vigente de identidad.
Fase 2 — Búsqueda Histórica Retroactiva
La segunda fase exige una revisión profunda e histórica dentro de los registros y bases de datos institucionales de la organización, abarcando desde la fecha de desaparición de la persona hasta el momento presente. Las entidades deben confrontar sus bases de datos contra el caso reportado para identificar operaciones administrativas pasadas que aporten indicios de vida.
El gran desafío operativo radica en los plazos de retención de datos. El Manual Técnico de la PUI establece que, si la fecha de desaparición tiene más de 12 años de antigüedad, el periodo de búsqueda histórica se debe acotar de manera obligatoria a los últimos 12 años. Una vez concluido este paso (se encuentren o no coincidencias), la institución debe invocar el endpoint /busqueda-finalizada.
| Criterio de Cumplimiento | Regulación PLD Tradicional (CNBV / SAT) | Manual Técnico de la PUI |
| Plazo Obligatorio de Retención | 10 años a partir de la conclusión de la operación. | 12 años máximos de acotación para la búsqueda histórica. |
| Frecuencia de Actualización | Periódica según el nivel de riesgo del cliente. | Inmediata tras la notificación de activación de un caso. |
| Alcance del Cruce de Datos | Listas oficiales, PEPs y personas bloqueadas. | Registro Nacional de Personas Desaparecidas y No Localizadas (RNPDNO). |
| Mecanismo de Consulta | Lotes (batch) o consultas puntuales individuales. | Flujo automatizado mediante Endpoints y Webhooks institucionales. |
Fase 3 — Vigilancia y Monitoreo Continuo
Esta fase es de naturaleza persistente. Una vez que concluye la fase histórica, el registro de la persona se integra obligatoriamente al sistema de búsqueda continua de la institución diversa. El sistema revisará periódicamente si ingresan registros nuevos o modificados que coincidan con la persona. La periodicidad recomendada por el Manual Técnico considera que se realice con frecuencias típicas de cada hora, cada cuatro horas o una vez al día (24 horas).
Tecnológicamente, este monitoreo continuo requiere que, ante cualquier nuevo evento detectado, la institución dispare de manera activa una petición POST hacia el endpoint central /notificar-coincidencia (esta vez incluyendo obligatoriamente los campos de tipo_evento, fecha_evento, descripcion_lugar_evento y direccion_evento) con el valor «3» en fase_busqueda. El flujo permanece activo de forma ininterrumpida hasta que se solicita formalmente la baja mediante el endpoint /desactivar-reporte.
Endpoints clave y arquitectura API para la interconexión con la PUI
Para superar la superficialidad conceptual y garantizar el cumplimiento técnico, los equipos de TI y Cumplimiento deben mapear e implementar con precisión tanto los métodos que expone la PUI como los webhooks que debe levantar la propia institución diversa:
/login(Acceso): Endpoint expuesto por la PUI donde la institución diversa envía sus credenciales en formato raw-JSON para obtener el token JWT obligatorio. Su vigencia es de una hora./notificar-coincidencia(Notificación Activa): Endpoint expuesto por la PUI que consume la institución mediante peticiones POST para reportar hallazgos de coincidencias en las fases 1, 2 y 3./busqueda-finalizada(Cierre de Fase Histórica): Endpoint expuesto por la PUI que la institución debe invocar de manera obligatoria una vez concluidas las consultas de las fases 1 y 2, hayan existido coincidencias o no./desactivar-reporte(Webhook de Entrada): Endpoint que debe implementar la institución diversa. Se usa para que la plataforma notifique la baja de un caso cuando la persona es localizada por la CNB, obligando a detener las tareas periódicas asociadas.
Requisitos de ciberseguridad exigidos por la PUI para Instituciones Diversas
La interconexión de sistemas con la PUI impone el cumplimiento estricto de protocolos de ciberseguridad avanzados. El Diario Oficial de la Federación (DOF) exige directrices de infraestructura informática inquebrantables que deben ser cubiertas por la institución diversa:
- Autenticación: Uso riguroso de tokens basados en el estándar JWT para la ejecución de los endpoints, los cuales deben contar con expiración obligatoria y no ser reutilizables.
- Capa de Transporte: Cifrado obligatorio en tránsito mediante el protocolo TLS 1.2 o superior, inhabilitando expresamente protocolos obsoletos (SSL 2.0, 3.0, TLS 1.0 y 1.1). No se requiere el uso de conexiones VPN gracias al cifrado TLS y tokens.
- Cifrado en Reposo y de Biométricos: Las fotografías y huellas dactilares de las que disponga la institución deben convertirse a Base64 y ser estrictamente cifradas utilizando el algoritmo AES-256-GCM con la contraseña de biométricos asignada antes de su transmisión.
- Auditorías de Código Obligatorias: Para autorizar la conectividad, la institución diversa tiene la obligación de ejecutar y enviar los reportes oficiales generados directamente por herramientas de pruebas de seguridad estáticas (SAST), dinámicas (DAST) y análisis de composición de software (SCA) en ambiente productivo.
Las multas del Artículo 43 Bis por incumplir con las fases de la PUI
El costo financiero y reputacional de operar al margen de estas disposiciones es crítico. El marco normativo general en materia de desaparición forzada de personas confiere responsabilidades estrictas a las instituciones encargadas de bases o sistemas de información que deben interconectarse de manera obligatoria con la PUI.
Las fallas en la interconexión tecnológica, la ausencia de las fases de búsqueda o la ineficiencia al responder y procesar los reportes oficiales en los webhooks institucionales son objeto de severas penalizaciones administrativas por parte de los órganos supervisores. El incumplimiento normativo o la vulneración de la seguridad y confidencialidad en los accesos compromete la responsabilidad legal de la empresa, derivando en sanciones financieras corporativas de alta gravedad, además del riesgo de suspensión del intercambio de información, afectando directamente la operación regular del sujeto obligado.
¿Cómo ayuda la tecnología en las fases de búsqueda de la PUI?
El desarrollo de una infraestructura propia para resolver la interoperabilidad con la PUI representa un alto costo de desarrollo, meses de retraso operativo y un riesgo tecnológico constante ante los cambios de esquema y requisitos del manual técnico. La respuesta eficiente radica en la adopción de ecosistemas RegTech especializados.
El uso de conectores SaaS y APIs preconfiguradas permite resolver la interconexión con la PUI en cuestión de minutos. Estas plataformas absorben la complejidad técnica del cifrado AES-256-GCM para datos biométricos, gestionan la infraestructura de alta disponibilidad para soportar los webhooks corporativos (como /desactivar-reporte y /activar-reporte) y automatizan los barridos de la Fase 2 (Búsqueda Histórica) sin degradar el rendimiento del core bancario o del sistema operativo interno de la empresa.
Conclusión
Cumplir con las tres fases de búsqueda del Manual Técnico de la PUI es una obligación federal vigente en México que no debe comprometer la ciberseguridad ni la continuidad de las operaciones del negocio. Delegar este proceso crítico a desarrollos manuales o internos incrementa exponencialmente el riesgo de incurrir en fallas de seguridad y severas sanciones normativas. ArmorAML® pone a su disposición la Solución Integral de PLD y RegTech más avanzada del mercado mexicano. Nuestra suite tecnológica automatiza la interconexión transparente con la PUI, gestiona las fases de búsqueda de extremo a extremo y protege legalmente a su institución con los más altos estándares de ciberseguridad. Proteja su empresa y agilice su cumplimiento hoy mismo con los servicios especializados de ArmorAML®.
Preguntas Frecuentes (FAQs)
¿Qué es la PUI y su Manual Técnico?
Es la Plataforma Única de Identidad, un sistema interconectado de consulta en tiempo real, cuyo Manual Técnico establece las reglas y requerimientos informáticos obligatorios para la interconexión de instituciones diversas.
¿Cuáles son las 3 fases de búsqueda que exige el Manual Técnico de la PUI?
Son los tres procesos obligatorios de control técnico interno: Fase 1 (Búsqueda para completar datos básicos), Fase 2 (Búsqueda histórica) y Fase 3 (Búsqueda continua).
¿Qué es la Fase 1 — Búsqueda Inmediata de Datos Básicos?
Es la consulta automatizada para remitir los valores más recientes de identidad (como CURP y datos generales) con el fin de complementar la ficha inicial del reporte en la PUI.
¿Qué es la Fase 2 — Búsqueda Histórica Retroactiva?
Es la consulta sobre la base de datos institucional desde la fecha de desaparición (acotada a un periodo máximo de los últimos 12 años) que concluye invocando /busqueda-finalizada.
¿Qué es la Fase 3 — Vigilancia y Monitoreo Continuo?
Es la revisión periódica automatizada de registros nuevos o modificados (con frecuencias recomendadas de 1, 4 o 24 horas) para detectar coincidencias constantes mediante /notificar-coincidencia.
¿Cuáles son los endpoints clave y arquitectura API para la interconexión con la PUI?
Son las funciones esenciales de intercambio, destacando los de la PUI (/login, /notificar-coincidencia, /busqueda-finalizada) y los que debe levantar la institución (/desactivar-reporte, /activar-reporte).
¿Cuáles son los requisitos de ciberseguridad exigidos por la PUI para Instituciones Diversas?
Autenticación estricta por JWT, uso forzoso de TLS 1.2 o superior, cifrado AES-256-GCM para archivos biométricos y entrega de auditorías de seguridad SAST, DAST y SCA.
¿Cuáles son las multas del Artículo 43 Bis por incumplir con las fases de la PUI?
El manual técnico impone la total responsabilidad de la seguridad de la infraestructura a la institución, donde el incumplimiento de las interconexiones genera severas penalizaciones administrativas y legales corporativas.
¿Cómo ayuda la tecnología en las fases de búsqueda de la PUI?
Automatiza la interoperabilidad en minutos mediante conectores SaaS, resolviendo el cifrado complejo y la infraestructura de webhooks sin necesidad de desarrollos in-house riesgosos.
