Leer Artículo
Leer Artículo

ArmorAML® Solución Integral de Prevención de Lavado de Dinero.

Cómo preparar tu infraestructura para conectarte a la PUI

por | May 20, 2026 | PUI | 0 Comentarios

¿Qué es la PUI y su Manual Técnico?

La Plataforma Única de Identidad (PUI) es la fuente primaria de consulta permanente y en tiempo real en México, diseñada para interconectarse con bases de datos o registros administrativos que permitan realizar búsquedas continuas entre registros para la localización de personas desaparecidas o no localizadas. El Manual Técnico de la Solución Tecnológica para Instituciones Diversas es el marco regulatorio e informático obligatorio (publicado oficialmente en el Diario Oficial de la Federación el 23 de enero de 2026) que dicta cómo las instituciones diversas (personas morales) deben interconectar sus sistemas y bases de datos para automatizar los procesos de intercambio de información y trazabilidad de su operación.

La interconexión con la PUI no es opcional. Las empresas e instituciones diversas en México deben adecuar su infraestructura tecnológica bajo un esquema de arquitectura API riguroso para ejecutar tres fases de búsqueda obligatorias, garantizando la seguridad de los datos y mitigando el riesgo de sanciones normativas o la suspensión del intercambio de información ante las autoridades.

¿Cuáles son las 3 fases de búsqueda que exige el Manual Técnico de la PUI?

El proceso automatizado que exige el Manual Técnico se estructura en tres etapas secuenciales y obligatorias que todo sistema de prevención, cumplimiento e identidad debe ejecutar. Estas fases garantizan que la consulta no sea un evento aislado, sino un ciclo continuo de control que abarca desde la identificación y complementación inicial del expediente del cliente hasta el monitoreo de su estatus de localización en territorio nacional.

Las tres etapas transitan desde la inmediatez de la consulta inicial al activarse un reporte, pasando por el análisis forense de la información histórica resguardada dentro del límite legal, hasta establecer un canal pasivo de escucha activa mediante webhooks. Ignorar el despliegue de cualquiera de estos tres niveles rompe la cadena de custodia digital y sitúa a la organización en un escenario de incumplimiento normativo grave ante las autoridades competentes.

Fase 1 — Búsqueda Inmediata de Datos Básicos

Esta primera fase, denominada formalmente «Búsqueda para completar datos básicos», se activa de forma automática tras recibir la notificación de la PUI en el endpoint de la institución diversa. Mediante una consulta automatizada en las bases de datos internas, el sistema devuelve los valores más recientes de los campos básicos de los que se disponga (como la CURP, nombre, domicilio, teléfono, correo o biométricos).

La finalidad es completar la ficha de búsqueda de la persona desaparecida o no localizada. El reporte debe notificarse a la PUI mediante el endpoint /notificar-coincidencia con el campo fase_busqueda en valor «1». En esta fase específica se omiten los campos referentes a los datos específicos del evento (como tipo y fecha de evento), debido a que únicamente se busca recabar la información general y vigente de identidad. Cabe destacar que la PUI y el RENAPO no captan ni almacenan permanentemente estos biométricos, los cuales quedan bajo custodia de la institución diversa.

Fase 2 — Búsqueda Histórica Retroactiva

La segunda fase exige una revisión profunda e histórica dentro de los registros y bases de datos institucionales de la organización, abarcando desde la fecha de desaparición de la persona hasta el momento presente. Las entidades deben confrontar sus bases de datos contra el caso reportado para identificar operaciones administrativas pasadas que aporten indicios de vida.

El gran desafío operativo radica en los plazos de retención de datos. El Manual Técnico de la PUI establece que, si la fecha de desaparición tiene más de 12 años de antigüedad, el periodo de búsqueda histórica se debe acotar de manera obligatoria a los últimos 12 años. Una vez concluido este paso (se encuentren o no coincidencias), la institución debe invocar de manera obligatoria el endpoint /busqueda-finalizada expuesto por la PUI.

Criterio de CumplimientoRegulación PLD Tradicional (CNBV / SAT)Manual Técnico de la PUI
Plazo Obligatorio de Retención10 años a partir de la conclusión de la operación.12 años máximos de acotación para la búsqueda histórica.
Frecuencia de ActualizaciónPeriódica según el nivel de riesgo del cliente.Inmediata tras la notificación de activación de un caso.
Alcance del Cruce de DatosListas oficiales, PEPs y personas bloqueadas.Registro Nacional de Personas Desaparecidas y No Localizadas (RNPDNO).
Mecanismo de ConsultaLotes (batch) o consultas puntuales individuales.Flujo automatizado mediante Endpoints y Webhooks institucionales.

Fase 3 — Vigilancia y Monitoreo Continuo

Esta fase es de naturaleza persistente. Una vez que concluye la fase histórica, el registro de la persona se integra obligatoriamente al sistema de búsqueda continua de la institución diversa. El sistema revisará periódicamente si ingresan registros nuevos o modificados que coincidan con la persona. La periodicidad recomendada por el Manual Técnico considera conveniente que se realice con la mayor frecuencia posible, siendo habituales lapsos de cada hora, cada cuatro horas o una vez al día (24 horas).

Tecnológicamente, este monitoreo continuo requiere que, ante cualquier nuevo evento detectado, la institución dispare de manera activa una petición POST hacia el endpoint central /notificar-coincidencia con el valor «3» en fase_busqueda, enviando los campos correspondientes al evento de operación administrativa si se cuenta con ellos. El flujo permanece activo de forma ininterrumpida hasta que se recibe la notificación de baja mediante el endpoint /desactivar-reporte expuesto por la propia institución.

Endpoints clave y arquitectura API para la interconexión con la PUI

Para superar la superficialidad conceptual y garantizar el cumplimiento técnico, los equipos de TI y Cumplimiento deben mapear e implementar con precisión tanto los métodos que expone la PUI como las URLs que debe levantar la propia institución diversa bajo su estructura <URL_BASE>/:

Endpoints expuestos por la PUI:

  • /login (Acceso): Endpoint de la PUI donde la institución envía sus credenciales en formato raw-JSON para obtener el token JWT obligatorio. Su vigencia es de una hora y el Manual exige renovarlo antes de alcanzar el 80% de su expiración para reducir riesgos.
  • /notificar-coincidencia (Notificación Activa): Consumido por la institución mediante peticiones POST para reportar hallazgos de coincidencias en las fases 1, 2 y 3.
  • /busqueda-finalizada (Cierre de Búsqueda Histórica): Invocado obligatoriamente por la institución una vez concluidas las consultas de las fases 1 y 2, hayan existido coincidencias o no.
  • /reportes (Listar reportes): Método GET expuesto por la PUI para consultar la lista de reportes con sus estados correspondientes.

Endpoints que debe implementar la Institución Diversa (Webhooks):

  • /login (Autenticación interna): Recibe las credenciales fijas del usuario «PUI» y devuelve el JWT firmado para validar las peticiones entrantes de la autoridad.
  • /activar-reporte (Activación de Búsqueda): Endpoint de tipo POST donde la PUI notifica el alta de un nuevo caso que da inicio a los flujos internos de búsqueda.
  • /activar-reporte-prueba (Validación Técnica): Implementado para confirmar la conectividad, autenticación y payloads en el entorno de Sandbox antes de pasar a producción.
  • /desactivar-reporte (Baja de Reporte): Recibe el identificador único (id) para detener de inmediato los procesos de monitoreo continuo y dar de baja el caso tras la localización de una persona por parte de la CNB.

Requisitos de ciberseguridad exigidos por la PUI para Instituciones Diversas

La interconexión de sistemas con la PUI impone el cumplimiento estricto de protocolos de ciberseguridad avanzados detallados en el Manual Técnico del DOF:

  • Autenticación y Control de Acceso: Uso riguroso de tokens basados en el estándar JWT para la ejecución de los endpoints, los cuales deben contar con expiración obligatoria y no ser reutilizables. Se exige control de acceso estricto a nivel de endpoint, método HTTP y recurso.
  • Capa de Transporte: Cifrado obligatorio en tránsito mediante el protocolo TLS 1.2 o superior, inhabilitando expresamente protocolos y cifrados obsoletos o débiles (SSL 2.0, 3.0, TLS 1.0 y 1.1). No se requiere ni es necesaria la implementación de conexiones VPN, dado que la seguridad queda garantizada mediante el cifrado TLS y el control de acceso por token.
  • Tratamiento de Biométricos (No Almacenamiento Centralizado): La PUI y el RENAPO no actúan como repositorios biométricos permanentes. Las fotografías y huellas dactilares de que disponga la institución deben convertirse a Base64 y ser cifradas utilizando el algoritmo AES-256-GCM con la clave de biométricos asignada únicamente para los flujos de verificación y notificación de coincidencias.
  • Reportes de Seguridad Obligatorios: Como requisito previo indispensable para autorizar la conectividad productiva, las instituciones diversas tienen la obligación de ejecutar y enviar los reportes oficiales generados directamente por sus herramientas de pruebas de seguridad estáticas (SAST), dinámicas (DAST) y análisis de composición de software (SCA), demostrando estar 100% libres de vulnerabilidades críticas, altas, medias o bajas.

Cumplimiento Normativo y Responsabilidad Legal de la Infraestructura

El costo financiero y reputacional de operar al margen de estas disposiciones es crítico. El marco normativo confiere responsabilidades estrictas a las instituciones encargadas de bases o sistemas de información que deben interconectarse de manera obligatoria con la PUI.

Cada Institución diversa es legalmente responsable de garantizar la seguridad, disponibilidad, integridad, confidencialidad y resiliencia de su infraestructura informática. Las fallas en la interconexión tecnológica, la ausencia de las fases de búsqueda obligatorias, la falta de bitácoras de auditoría estructuradas (logs) o la ineficiencia al responder a los webhooks institucionales son objeto de severas penalizaciones administrativas por parte de los órganos supervisores. El incumplimiento normativo compromete la responsabilidad legal de la empresa, derivando en sanciones corporativas de alta gravedad y el riesgo inminente de suspensión del intercambio de información, afectando directamente la operación regular del sujeto obligado. Además, para operar formalmente, el representante legal de la Persona Moral debe acreditar e inscribir obligatoriamente a la institución a través del sistema Llave MX de la ATDT utilizando su e.Firma institucional vigente, cuya caducidad provoca la revocación automática de los tokens de acceso.

¿Cómo ayuda la tecnología en las fases de búsqueda de la PUI?

El desarrollo de una infraestructura propia para resolver la interoperabilidad con la PUI representa un alto costo de desarrollo, meses de retraso operativo y un riesgo tecnológico constante ante los cambios de esquema y requisitos del manual técnico. La respuesta eficiente radica en la adopción de ecosistemas RegTech especializados.

El uso de conectores SaaS y APIs preconfiguradas permite resolver la interconexión con la PUI en cuestión de minutos. Estas plataformas absorben la complejidad técnica del cifrado AES-256-GCM para datos biométricos, gestionan la infraestructura de alta disponibilidad para soportar los webhooks corporativos (como /desactivar-reporte y /activar-reporte) y automatizan los barridos de la Fase 2 (Búsqueda Histórica) sin degradar el rendimiento del core bancario o del sistema operativo interno de la empresa.

Conclusión

Cumplir con las tres fases de búsqueda del Manual Técnico de la PUI es una obligación federal vigente en México que no debe comprometer la ciberseguridad ni la continuidad de las operaciones del negocio. Delegar este proceso crítico a desarrollos manuales o internos incrementa exponencialmente el riesgo de incurrir en fallas de seguridad y severas sanciones normativas. ArmorAML® pone a su disposición la Solución Integral de PLD y RegTech más avanzada del mercado mexicano. Nuestra suite tecnológica automatiza la interconexión transparente con la PUI, gestiona las fases de búsqueda de extremo a extremo y protege legalmente a su institución con los más altos estándares de ciberseguridad. Proteja su empresa y agilice su cumplimiento hoy mismo con los servicios especializados de ArmorAML®.

Preguntas Frecuentes (FAQs)

¿Qué es la PUI y su Manual Técnico?

Es la Plataforma Única de Identidad, un sistema interconectado de consulta en tiempo real, cuyo Manual Técnico (publicado en el DOF en enero de 2026) establece los requerimientos informáticos obligatorios para la interconexión de instituciones diversas.

¿Cuáles son las 3 fases de búsqueda que exige el Manual Técnico de la PUI?

Son los tres procesos obligatorios de control técnico interno: Fase 1 (Búsqueda para completar datos básicos), Fase 2 (Búsqueda histórica acotada a un máximo de 12 años) y Fase 3 (Búsqueda continua persistente).

¿Qué es la Fase 1 — Búsqueda Inmediata de Datos Básicos?

Es la consulta automatizada interna para remitir de inmediato los valores de identidad más recientes con el fin de complementar la ficha inicial del reporte en la PUI, omitiendo los campos de eventos.

¿Qué es la Fase 2 — Búsqueda Histórica Retroactiva?

Es la consulta sobre la base de datos institucional desde la fecha de desaparición (acotada a un periodo máximo de los últimos 12 años) que concluye invocando obligatoriamente /busqueda-finalizada.

¿Qué es la Fase 3 — Vigilancia y Monitoreo Continuo?

Es la revisión periódica automatizada de registros nuevos o modificados (con frecuencias aconsejadas de 1, 4 o 24 horas) para detectar coincidencias constantes mediante el endpoint /notificar-coincidencia.

¿Cuáles son los endpoints clave y arquitectura API para la interconexión con la PUI?

Son las funciones esenciales de intercambio, destacando los de la PUI (/login, /notificar-coincidencia, /busqueda-finalizada) y los que debe levantar la institución bajo su URL Base (/login, /activar-reporte, /activar-reporte-prueba, /desactivar-reporte).

¿Cuáles son los requisitos de ciberseguridad exigidos por la PUI para Instituciones Diversas?

Autenticación estricta por JWT, uso forzoso de TLS 1.2 o superior (sin requerir VPN), cifrado transitorio AES-256-GCM para archivos biométricos y entrega de auditorías de seguridad SAST, DAST y SCA con cero vulnerabilidades.

¿Cuáles son las responsabilidades legales por incumplir con las fases de la PUI?

El manual técnico impone la total responsabilidad de la infraestructura y confidencialidad a la institución; el incumplimiento de las interconexiones o webhooks genera severas penalizaciones administrativas y el riesgo de suspensión del intercambio de datos.

¿Cómo ayuda la tecnología en las fases de búsqueda de la PUI?

Automatiza la interoperabilidad en minutos mediante conectores SaaS seguros, resolviendo el cifrado complejo y la infraestructura de webhooks sin necesidad de desarrollos in-house riesgosos.

ArmorAML® Solución Integral de Prevención de Lavado de Dinero

Suscríbete para recibir el mejor contenido relevante para PLD

Sistema de Prevencion de Lavado de Dinero_ Logo ARMOR
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Consulta el aviso de privacidad aquí