¿Qué es la PUI y el despliegue sectorial para 2026?
La Plataforma Única de Identidad (PUI) es la fuente primaria de consulta permanente y en tiempo real en México, diseñada para interconectarse con bases de datos o registros administrativos que permitan realizar búsquedas continuas entre registros para la localización de personas desaparecidas o no localizadas. El Manual Técnico de la PUI constituye el marco regulatorio oficial que rige de manera estricta los requerimientos informáticos y de interoperabilidad obligatorios para las instituciones diversas.
Tras su publicación oficial en el Diario Oficial de la Federación (DOF) el 23 de enero de 2026, el ecosistema normativo se expande aceleradamente. Los sectores corporativos de la salud, las telecomunicaciones y la educación (personas morales) que manejan registros masivos de usuarios y transacciones administrativas están llamados a iniciar su proceso técnico de interconexión con la PUI. La incorporación de estos nuevos sectores responde a la necesidad de masificar los puntos de contacto para rastrear indicios de vida y automatizar el cruce de datos nacionales.
Las 3 fases de búsqueda obligatorias aplicadas a los nuevos sectores
La infraestructura de software de las empresas en estos sectores debe reconfigurarse para ejecutar de forma secuencial y sin demoras las tres fases de búsqueda que exige el Manual Técnico:
- Fase 1 — Búsqueda de Datos Básicos: Al activarse una alerta por parte de las autoridades, el sistema automatizado de la institución diversa debe realizar una consulta interna inmediata para remitir los valores básicos más actualizados disponibles (CURP, nombre, teléfonos, domicilios, correos o datos biométricos) a través del endpoint
/notificar-coincidenciacon la etiqueta defase_busquedaestablecida en «1». - Fase 2 — Búsqueda Histórica Retroactiva: El sistema debe ejecutar una revisión retrospectiva en sus bases de datos locales desde la fecha del evento reportado hasta el presente. Por ley, si el registro de la desaparición excede los 12 años, la búsqueda histórica se acotará obligatoriamente a los últimos 12 años. Una vez concluido el barrido interno, existan o no coincidencias, es obligatorio invocar el endpoint
/busqueda-finalizada. - Fase 3 — Vigilancia y Monitoreo Continuo: Culminadas las etapas previas, el registro entra en un bucle de monitoreo continuo. La infraestructura de la empresa debe revisar de forma persistente y automatizada la entrada de nuevos datos o modificaciones operativas. El Manual Técnico sugiere frecuencias de procesamiento típicas de cada hora, cada cuatro horas o 24 horas (una vez al día), manteniendo el rastreo activo hasta recibir la instrucción oficial de baja.
Impacto operativo por sector: Salud, Telecomunicaciones y Educación
La obligatoriedad de la PUI en estos tres nuevos mercados plantea casos de uso e implicaciones de cumplimiento técnico específicos para cada tipo de negocio:
1. Sector Salud (Clínicas, Hospitales y Aseguradoras)
Las instituciones médicas privadas manejan historiales, ingresos clínicos y expedientes altamente sensibles. Ante un reporte activo de la PUI, las búsquedas históricas (Fase 2) y continuas (Fase 3) deben cruzar de manera automática los registros de admisiones hospitalarias, consultas externas y contratación de pólizas de gastos médicos mayores. Un alta médica o una atención de urgencias se traduce en una «operación administrativa» que puede proveer un indicio de vida crítico para las autoridades.
2. Sector Telecomunicaciones (Operadoras Móviles e Internet)
Las empresas de telecomunicaciones resguardan bases de datos masivas vinculadas directamente a la identidad digital. El flujo de interconexión con la PUI obliga a las operadoras a monitorear la contratación de nuevas líneas celulares, cambios de titularidad de contratos de internet o la actualización de datos de facturación. La dirección registrada o el teléfono celular recolectado se convierten en datos básicos obligatorios que agilizan los flujos informáticos del Registro Nacional.
3. Sector Educación (Universidades e Institutos Tecnológicos)
Las instituciones educativas de nivel medio superior y superior acumulan registros demográficos detallados de estudiantes y egresados. El desarrollo de sus servicios web bajo el estándar PUI implica que los procesos de reinscripción, solicitudes de títulos profesionales, trámites de becas o actualizaciones de perfiles en portales universitarios deben ser confrontados contra la base de datos de alertas activas para emitir las respectivas notificaciones de coincidencia.
| Sector Corporativo | Operación Administrativa Clave (Tipo de Evento) | Datos de Impacto para el RNPDNO |
| Salud | Admisión hospitalaria, urgencias médicas, alta de seguro. | Domicilio actual, contacto de emergencia, biométricos. |
| Telecomunicaciones | Contratación de línea móvil, actualización de datos de cobranza. | Número telefónico verificado, CURP, dirección de facturación. |
| Educación | Inscripción escolar, solicitud de titulación, trámite de credencial. | Datos generales de identidad, fotografía digital reciente. |
Endpoints y Webhooks obligatorios a blindar en la infraestructura API
Para procesar adecuadamente las solicitudes en formato raw-JSON, la arquitectura de TI de los nuevos sectores debe integrarse eficientemente con los endpoints de la plataforma y, en paralelo, implementar webhooks locales robustos codificados obligatoriamente en formato UTF-8:
/login(Consumo PUI): Endpoint central de la PUI donde la institución envía sus credenciales autenticadas por su RFC (con homoclave vinculado vía Llave MX) para recibir el Bearer token (JWT) de acceso. Tiene una vigencia estricta de una hora, exigiendo renovación automática./notificar-coincidencia(Consumo PUI): Método POST que se invoca de manera activa para reportar un hallazgo en cualquiera de las 3 fases, mapeando obligatoriamente campos comotipo_evento,fecha_eventoydescripcion_lugar_eventopara las fases 2 y 3./busqueda-finalizada(Consumo PUI): Notificación obligatoria de tipo POST que la empresa debe enviar tras terminar la revisión del bloque histórico (Fase 2), cerrando la solicitud técnica inicial./desactivar-reporte(Webhook Propio): Endpoint POST que cada hospital, operadora móvil o universidad debe levantar y asegurar en su propio servidor web. Es la ruta utilizada por la PUI para ordenar la baja del monitoreo de búsqueda continua una vez que la CNB localiza a la persona, resguardando la privacidad del usuario.
Exigencias críticas de Ciberseguridad y Cifrado Biométrico
El Manual Técnico de la PUI dictamina directrices de ciberseguridad inquebrantables, cuyo incumplimiento es motivo de desconexión del sistema y severas sanciones administrativas. Las corporaciones de salud, telecomunicaciones y educación deben asegurar en su capa informática:
- Protección de la Capa de Transporte: Uso forzoso de conexiones HTTPS con protocolo de cifrado TLS 1.2 o superior. Quedan expresamente inhabilitados y prohibidos los protocolos obsoletos (SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1). Debido al blindaje nativo de TLS y el uso de tokens JWT robustos, no se requiere la implementación de túneles o conexiones VPN.
- Cifrado Avanzado AES-256-GCM para Biométricos: Si las universidades (para credenciales), hospitales (expedientes) u operadoras cuentan con fotografías o huellas dactilares de sus usuarios, dichos archivos deben cumplir con resoluciones mínimas (300 ppi para imágenes; 500 ppi para huellas en escala de grises). Antes de ser transmitidos, deben convertirse a Base64 y ser estrictamente cifrados bajo el algoritmo criptográfico AES-256-GCM utilizando la contraseña única para biométricos otorgada a la entidad.
- Auditorías de Código de Entrega Obligatoria: Para obtener la autorización oficial de interconexión con el entorno de producción, las instituciones diversas tienen el deber ineludible de presentar los informes de vulnerabilidades emitidos por herramientas analíticas especializadas en pruebas de seguridad estáticas (SAST), dinámicas (DAST) y de análisis de composición de software (SCA).
Fundamento Legal y Consecuencias del Incumplimiento Normativo
El marco normativo que obliga a estos tres sectores se sustenta de manera general en la Constitución Política de los Estados Unidos Mexicanos, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General en Materia de Desaparición Forzada de Personas.
El Artículo 12 Bis, fracción V de la citada Ley General, junto con los Lineamientos publicados en el DOF, estipula que las instituciones diversas (personas morales) que posean registros o sistemas informáticos administrativos de relevancia nacional tienen la obligación legal de interconectarse con la PUI. La omisión en el desarrollo de la API, el retraso injustificado en la notificación de coincidencias o la falta de blindaje en los endpoints corporativos exponen a las empresas a multas financieras críticas por infracción, fincando responsabilidades civiles y administrativas graves, además del veto inmediato de sus canales digitales de intercambio de información.
¿Cómo soluciona los desafíos de la PUI en 2026?
Construir un desarrollo propio e in-house para adaptar los sistemas de un hospital, una red de telecomunicaciones o una universidad a las especificaciones del Manual Técnico de la PUI representa un desafío informático titánico. Los errores en la gestión de tokens JWT, las caídas de los webhooks de entrada ante miles de peticiones simultáneas o fallas menores en la codificación UTF-8 pueden paralizar la operación regulatoria.
La adopción de tecnología RegTech especializada a través de conectores SaaS y APIs preconfiguradas es la alternativa más eficiente para los Directores de TI y Oficiales de Cumplimiento. Estas suites especializadas absorben por completo la complejidad del cifrado AES-256-GCM para biométricos, automatizan la renovación de tokens de acceso cada hora y estructuran de manera nativa los payloads en formato raw-JSON, permitiendo que la empresa logre una interconexión autorizada con la PUI en tiempo récord y sin alterar sus procesos de negocio ordinarios.
Conclusión
La expansión de la Plataforma Única de Identidad (PUI) hacia los sectores de la salud, las telecomunicaciones y la educación en 2026 marca un hito en la responsabilidad social y el cumplimiento normativo en México. Mitigar los riesgos de sanciones legales y caídas en las auditorías de código es un imperativo que los líderes de TI no deben postergar. ArmorAML® ofrece la infraestructura RegTech más avanzada, segura y confiable para resolver la interconexión con la PUI de manera inmediata. Nuestra plataforma SaaS está totalmente adaptada al Manual Técnico oficial, administrando las tres fases de búsqueda de forma automatizada y garantizando la protección absoluta de su entorno mediante cifrado AES-256-GCM y altos estándares validados de ciberseguridad SAST/DAST/SCA. Dé el paso hacia el cumplimiento automatizado hoy mismo con el respaldo de los expertos de ArmorAML®.
Preguntas Frecuentes (FAQs)
¿Qué sectores se suman a la obligación de conectarse a la PUI en 2026?
Con la entrada en vigor del Manual Técnico, los sectores de salud (hospitales y aseguradoras), telecomunicaciones (operadoras móviles e internet) y educación (universidades) deben iniciar su interconexión formal.
¿Cuál es la función del Manual Técnico de la PUI?
Es el marco regulatorio e informático oficial que determina los requisitos, endpoints y flujos de datos obligatorios para que las instituciones diversas automaticen el intercambio de información en tiempo real.
¿Cómo aplica la Fase 1 de búsqueda en salud, telecom o educación?
Exige que ante un reporte activo, los sistemas internos localicen de inmediato y remitan los datos básicos de identidad más recientes del usuario (CURP, nombre, teléfonos) mediante el endpoint /notificar-coincidencia.
¿Qué establece la PUI sobre la Fase 2 (Búsqueda Histórica)?
Dictamina realizar una consulta retrospectiva en las bases institucionales desde la fecha de desaparición. Si dicha fecha supera los 12 años, la búsqueda se acota obligatoriamente a los últimos 12 años, requiriendo al cierre invocar /busqueda-finalizada.
¿Con qué frecuencia se debe ejecutar la Fase 3 (Búsqueda Continua)?
El manual técnico considera conveniente frecuencias típicas de procesamiento de cada hora, cada cuatro horas o una vez al día (24 horas), manteniendo el monitoreo activo hasta que se reciba una baja formal.
¿Qué webhooks debe levantar la institución diversa en sus servidores?
Debe implementar y mantener el webhook obligatorio /desactivar-reporte, utilizado por la PUI para ordenar la baja inmediata de un monitoreo continuo cuando una persona ha sido localizada por la CNB.
¿Cuáles son los requisitos de ciberseguridad obligatorios en la API?
Autenticación estricta con Bearer tokens basados en JWT, cifrado forzoso HTTPS con TLS 1.2 o superior (sin necesidad de VPN) y la presentación de auditorías de código SAST, DAST y SCA.
¿Qué exige el Manual Técnico sobre el cifrado de datos biométricos?
Exige que las fotografías y huellas dactilares se conviertan a Base64 y se cifren obligatoriamente mediante el algoritmo criptográfico AES-256-GCM con la contraseña asignada a la entidad antes de su transmisión.
¿Cómo simplifica el RegTech la adopción de la PUI para estos sectores?
El RegTech especializado proporciona conectores SaaS y APIs robustas preconfiguradas que resuelven los ciclos de búsqueda, la renovación de tokens JWT y el cifrado complejo en minutos, evitando costosos desarrollos internos.
