¿Qué es la PUI y qué regula su Manual Técnico?
La Plataforma Única de Identidad (PUI) es la fuente primaria de consulta permanente y en tiempo real en México, diseñada para interconectarse con bases de datos o registros administrativos que permitan realizar búsquedas continuas entre registros para la localización de personas desaparecidas o no localizadas.
El Manual Técnico de la PUI (publicado en el Diario Oficial de la Federación el 23 de enero de 2026) es el marco regulatorio oficial que determina de manera obligatoria los requisitos, procesos, intercambio de información, interconexión, gestión y trazabilidad informática para las instituciones diversas (personas morales). Su propósito central es normar la interoperabilidad automatizada de los sistemas corporativos con las bases de datos de búsqueda de las autoridades federales, coordinadas por la Comisión Nacional de Búsqueda (CNB) y bajo los estándares de la Agencia de Transformación Digital y Telecomunicaciones (ATDT).
Preguntas Frecuentes (FAQs) sobre la Plataforma Única de Identidad
1. ¿Qué es una «Institución Diversa» según la normativa de la PUI?
Se denomina institución diversa a toda persona moral o entidad encargada de registros, bases de datos o sistemas de información que, conforme al artículo 12 Bis, fracción V de la Ley General en Materia de Desaparición Forzada de Personas, tiene una naturaleza jurídica distinta a las instituciones públicas y cuenta con la obligación legal de interconectar sus sistemas informáticos con la Plataforma Única de Identidad.
2. ¿Cuáles son las 3 fases de búsqueda obligatorias que se deben programar?
El Manual Técnico dictamina tres flujos de control interno secuenciales:
- Fase 1 (Búsqueda de Datos Básicos): Es una consulta automatizada inicial ante un reporte recibido. Su fin es recabar y remitir los valores más actualizados de identidad del usuario (CURP, nombre, teléfonos, domicilios, correos o biométricos) mediante el endpoint /notificar-coincidencia, utilizando el valor «1» en el campo fase_busqueda y omitiendo los campos de datos de evento.
- Fase 2 (Búsqueda Histórica Retroactiva): Es un rastreo retrospectivo en las bases de datos desde la fecha de desaparición hasta el alta del reporte en la plataforma. Si el tiempo transcurrido supera los 12 años, el periodo de búsqueda se debe acotar de forma obligatoria a los últimos 12 años de datos históricos institucionales. Al concluir este barrido (con o sin hallazgos), es obligatorio invocar el endpoint /busqueda-finalizada.
- Fase 3 (Vigilancia y Monitoreo Continuo): Consiste en una revisión periódica persistente sobre entradas nuevas o modificaciones en los registros internos. El Manual Técnico considera conveniente que se ejecute con frecuencias típicas de cada hora, cada cuatro horas o una vez al día (24 horas). Permanecerá activa hasta que la autoridad ordene la baja del reporte.
3. ¿Es obligatorio establecer una conexión VPN para enlazarse a la PUI?
No, el Manual Técnico descarta explícitamente el uso de conexiones VPN. La seguridad y confidencialidad en la transmisión de los paquetes raw-JSON se garantizan de forma nativa a través del cifrado de transporte HTTPS con protocolo TLS 1.2 o superior, un esquema robusto de Bearer tokens por JWT y la implementación de listas de control de acceso (ACL). Esto permite un proceso de integración mucho más ágil y descentralizado para las corporaciones.
4. ¿Cuáles son los endpoints clave que la empresa debe consumir y cuáles debe levantar?
La arquitectura API se divide en dos vías de interacción y requiere desarrollos en ambos lados. Para estandarizar la invocación por parte de la PUI, la institución debe exponer una <URL_BASE> única para sus endpoints.
- Endpoints de la PUI (a consumir por la institución): /login para obtener el token JWT temporal (con vigencia estricta de una hora y recomendación de renovarse al alcanzar el 80% de su expiración); /notificar-coincidencia para reportar hallazgos en formato UTF-8; /busqueda-finalizada para el cierre formal de la Fase 2; y /reportes (GET) para listar reportes enviados.
- Endpoints de la Institución (a implementar en sus propios servidores como webhooks): La empresa debe levantar obligatoriamente el endpoint /login para autenticar a la PUI usando el usuario fijo «PUI», el endpoint /activar-reporte (POST) para recibir las solicitudes de búsqueda de la plataforma, el endpoint /activar-reporte-prueba para validar la conectividad en ambientes controlados, y el endpoint /desactivar-reporte (POST). Este último recibe la instrucción central de la PUI cuando una persona es localizada por la CNB, obligando a la empresa a dar de baja el caso y detener inmediatamente toda tarea periódica de monitoreo continuo vinculada a ese ID.
| Tipo de Endpoint | Ruta Técnica Oficial | Función Crítica en el Flujo | Obligatoriedad |
| Consumo Central | /login | Autenticación ante la PUI y obtención de Bearer Token (Vence en 1 hora). | Obligatorio |
| Consumo Central | /notificar-coincidencia | Ingesta inmediata de datos o registro de operaciones operativas ante hallazgos. | Obligatorio ante hallazgo |
| Consumo Central | /busqueda-finalizada | Cierre del procesamiento de datos históricos de la Fase 2. | Obligatorio (con o sin coincidencias) |
| Webhook Propio | /login | Autenticación de la PUI ante el entorno de la institución diversa mediante usuario fijo «PUI». | Obligatorio de implementar |
| Webhook Propio | /activar-reporte | Recepción de solicitudes de búsqueda con campos estructurados basados en CURP. | Obligatorio de implementar |
| Webhook Propio | /activar-reporte-prueba | Validación previa de conectividad, estructura del payload y firma del token. | Obligatorio de implementar |
| Webhook Propio | /desactivar-reporte | Detención definitiva de la búsqueda continua por localización de la CNB a partir del id. | Obligatorio de implementar |
5. ¿Qué requisitos exige el Diario Oficial para el cifrado de datos biométricos?
La PUI no actúa como un repositorio masivo permanente; las fotos y huellas dactilares se quedan bajo la estricta custodia de la institución diversa. Sin embargo, para su transmisión segura de verificación, las fotografías (resolución mínima de 300 ppi y peso máximo de 240KB) y las huellas (mínimo 500 ppi en escala de grises de 8 bits con etiquetas del Anexo 4) deben convertirse a Base64. Posteriormente, deben cifrarse rigurosamente empleando el algoritmo criptográfico avanzado AES-256-GCM utilizando la clave de biométricos asignada a cada institución diversa.
6. ¿Cuáles son las directrices informáticas de ciberseguridad para mitigar rechazos?
El ecosistema técnico de la corporación interesada debe apegarse a lineamientos inquebrantables descritos en la sección 10 del documento:
- Capa de transporte blindada: Uso estricto de HTTPS con TLS 1.2 o superior. Queda expresamente prohibido admitir protocolos obsoletos o vulnerables como SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1, así como cifrados débiles.
- Sanitización total: Los endpoints locales deben validar tipos, longitudes y formatos de variables, rechazando caracteres especiales (como %, <, >, ‘, «, /) para evitar inyecciones SQL o XSS. Un payload mal formado debe arrojar errores estructurados (como 400 o 422) y bajo ninguna circunstancia gatillar un error interno de servidor 500. Asimismo, la API debe estar preparada para interpretar un código HTTP 300 en caso de coincidencias múltiples.
- Control anti-abuso: Implementar Rate Limiting por IP, usuario o token para repeler denegaciones de servicio (DDoS de bajo volumen), ataques de fuerza bruta o enumeración masiva de cuentas, respondiendo con códigos como 429 Too Many Requests.
7. ¿Qué son las auditorías de código obligatorias (SAST, DAST y SCA)?
Para recibir las credenciales de acceso al ambiente productivo de la PUI, la institución diversa tiene el deber mandatorio de ejecutar y entregar los reportes oficiales emitidos por herramientas especializadas de análisis de vulnerabilidades aplicadas sobre su URL Base y endpoints:
- SAST (Static Application Security Testing): Pruebas de seguridad estáticas aplicadas directamente al código fuente de la integración.
- DAST (Dynamic Application Security Testing): Pruebas de seguridad dinámicas que evalúan el comportamiento de la API en tiempo de ejecución.
- SCA (Software Composition Analysis): Análisis de composición de software para asegurar que las librerías o dependencias de terceros estén libres de brechas de seguridad conocidas.
Criterio de cumplimiento obligatorio: El reporte debe ser ejecutado directamente en el ambiente productivo y evidenciar de forma contundente que el entorno evaluado está 100% libre de vulnerabilidades Críticas, Altas, Medias y Bajas según el estándar internacional CVSS.
8. ¿Cuáles son las multas o sanciones legales por incumplir con la interconexión?
La omisión en la estructuración de la API institucional, el retardo en la notificación de coincidencias o el almacenamiento inseguro de accesos regulatorios comprometen de manera directa la responsabilidad administrativa y civil de la persona moral. La Ley General en Materia de Desaparición Forzada confiere facultades estrictas para sancionar a las organizaciones comerciales que obstaculicen los mecanismos federales de localización o vulneren la custodia e integridad de la información sensible del Registro Nacional, derivando en severas penalizaciones financieras y la suspensión definitiva del intercambio tecnológico de datos. Además, administrativamente, los representantes legales deben realizar obligatoriamente el alta institucional mediante el sistema Llave MX de la ATDT usando la e.Firma de la Persona Moral; mantenerla desactualizada ante el SAT provocará la revocación automática de los tokens de acceso a la API productiva.
¿Cómo soluciona ArmorAML® tu conexión a la PUI?
Superar con éxito los requerimientos informáticos impuestos por la regulación federal mediante desarrollos de software propios o in-house suele convertirse en un dolor de cabeza técnico. Las corporaciones se enfrentan a meses de retraso en ingeniería, riesgos severos de rechazo en auditorías de código SAST/DAST/SCA y complejidades matemáticas al implementar el cifrado AES-256-GCM en Base64 para datos biométricos respetando los límites de peso de 240KB por imagen.
La plataforma de ArmorAML® elimina esta fricción operativa en minutos. A través de nuestros conectores SaaS especializados y APIs preconfiguradas de alta disponibilidad, su institución absorbe de forma nativa los payloads raw-JSON requeridos, gestiona la renovación automática de tokens JWT antes de alcanzar el 80% de su expiración y blinda los webhooks obligatorios de entrada (como /activar-reporte, /activar-reporte-prueba y /desactivar-reporte) bajo los más estrictos estándares internacionales de ciberseguridad, garantizando un entorno libre de vulnerabilidades listo para aprobación.
Conclusión
El Manual Técnico de la Plataforma Única de Identidad (PUI) representa una obligación federal inapelable para las instituciones diversas en México. No deje el cumplimiento normativo y la ciberseguridad corporativa en manos de implementaciones manuales propensas a errores de validación, rechazos de auditoría o penalizaciones legales. ArmorAML® es el aliado tecnológico estratégico que su empresa necesita para automatizar la interconexión de extremo a extremo, resolver de inmediato los ciclos de las 3 fases de búsqueda, registrar las bitácoras estructuradas exigidas por la ley y blindar su infraestructura informática con absoluta certeza legal. Agilice su proceso de validación e interconéctese hoy mismo con la solución líder de ArmorAML®.
