¿Qué es la PUI y el despliegue sectorial para 2026?
La Plataforma Única de Identidad (PUI) es la fuente primaria de consulta permanente y en tiempo real en México, diseñada para interconectarse con bases de datos o registros administrativos que permitan realizar búsquedas continuas entre registros para la localización de personas desaparecidas o no localizadas. El Manual Técnico de la PUI constituye el marco regulatorio oficial que rige de manera estricta los requerimientos informáticos y de interoperabilidad obligatorios para las instituciones diversas.
Tras su publicación oficial en el Diario Oficial de la Federación (DOF) el 23 de enero de 2026, el ecosistema normativo se expande aceleradamente. Los sectores corporativos de la salud, las telecomunicaciones y la educación (personas morales) que manejan registros masivos de usuarios y transacciones administrativas están llamados a iniciar su proceso técnico de interconexión con la PUI. La incorporación de estos nuevos sectores responde a la necesidad de masificar los puntos de contacto para rastrear indicios de vida y automatizar el cruce de datos nacionales.
Las 3 fases de búsqueda obligatorias aplicadas a los nuevos sectores
La infraestructura de software de las empresas en estos sectores debe reconfigurarse para ejecutar de forma secuencial y sin demoras las tres fases de búsqueda que exige el Manual Técnico:
- Fase 1 — Búsqueda de Datos Básicos: Al activarse una alerta por parte de las autoridades, el sistema automatizado de la institución diversa debe realizar una consulta interna inmediata para remitir los valores básicos más actualizados disponibles (CURP, nombre, teléfonos, domicilios, correos o datos biométricos) a través del endpoint /notificar-coincidencia con la etiqueta de fase_busqueda establecida en «1».
- Fase 2 — Búsqueda Histórica Retroactiva: El sistema debe ejecutar una revisión retrospectiva en sus bases de datos locales desde la fecha del evento reportado hasta el presente. Por ley, si el registro de la desaparición excede los 12 años, la búsqueda histórica se acotará obligatoriamente a los últimos 12 años. Una vez concluido el barrido interno, existan o no coincidencias, es obligatorio invocar el endpoint /busqueda-finalizada.
- Fase 3 — Vigilancia y Monitoreo Continuo: Culminadas las etapas previas, el registro entra en un bucle de monitoreo continuo. La infraestructura de la empresa debe revisar de forma persistente y automatizada la entrada de nuevos datos o modificaciones operativas. El Manual Técnico sugiere frecuencias de procesamiento típicas de cada hora, cada cuatro horas o 24 horas (una vez al día), manteniendo el rastreo activo hasta recibir la instrucción oficial de baja.
Impacto operativo por sector: Salud, Telecomunicaciones y Educación
La obligatoriedad de la PUI en estos tres nuevos mercados plantea casos de uso e implicaciones de cumplimiento técnico específicos para cada tipo de negocio:
| Sector Corporativo | Operación Administrativa Clave (Tipo de Evento) | Datos de Impacto para el RNPDNO |
| Salud | Admisión hospitalaria, urgencias médicas, alta de seguro. | Domicilio actual, contacto de emergencia, biométricos. |
| Telecomunicaciones | Contratación de línea móvil, actualización de datos de cobranza. | Número telefónico verificado, CURP, dirección de facturación. |
| Educación | Inscripción escolar, solicitud de titulación, trámite de credencial. | Datos generales de identidad, fotografía digital reciente. |
Endpoints y Webhooks obligatorios a blindar en la infraestructura API
Para procesar adecuadamente las solicitudes en formato raw-JSON, la arquitectura de TI de los nuevos sectores debe integrarse eficientemente con los endpoints de la plataforma y, en paralelo, implementar endpoints institucionales locales robustos codificados obligatoriamente en formato UTF-8:
- /login (Consumo PUI): Endpoint central de la PUI donde la institución envía sus credenciales autenticadas (su RFC con homoclave) para recibir el Bearer token (JWT) de acceso. Tiene una vigencia estricta de una hora, exigiendo renovación automatizada.
- /notificar-coincidencia (Consumo PUI): Método POST que se invoca de manera activa para reportar un hallazgo en cualquiera de las 3 fases, mapeando obligatoriamente campos como tipo_evento, fecha_evento y descripcion_lugar_evento para las fases 2 y 3.
- /busqueda-finalizada (Consumo PUI): Notificación obligatoria de tipo POST que la empresa debe enviar tras terminar la revisión del bloque histórico (Fase 2), cerrando la solicitud técnica inicial.
- /desactivar-reporte (API Institucional): Endpoint de tipo POST que cada hospital, operadora móvil o universidad debe exponer y asegurar bajo su URL base. Es la ruta utilizada por la PUI para notificar la baja del monitoreo de búsqueda continua una vez que la persona ha sido localizada, deteniendo así todos los procesos internos automatizados vinculados a dicho identificador.
Exigencias críticas de Ciberseguridad y Cifrado Biométrico
El Manual Técnico de la PUI dictamina directrices de ciberseguridad inquebrantables, cuyo incumplimiento es motivo de desconexión del sistema y severas sanciones administrativas. Las corporaciones de salud, telecomunicaciones y educación deben asegurar en su capa informática:
- Protección de la Capa de Transporte: Uso forzoso de conexiones HTTPS con protocolo de cifrado TLS 1.2 o superior. Quedan expresamente inhabilitados y prohibidos los protocolos obsoletos (SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1). Debido al blindaje nativo de TLS y el uso de tokens JWT robustos, no se requiere la implementación de túneles o conexiones VPN.
- Interoperabilidad sin almacenamiento en la PUI: Es un requisito crítico comprender que ni la PUI ni el RENAPO captan, conservan o almacenan de forma autónoma o permanente huellas dactilares o imágenes faciales. Estos archivos biométricos permanecen bajo la estricta custodia y responsabilidad de las instituciones diversas legalmente facultadas para su tratamiento.
- Cifrado Avanzado AES-256-GCM para Biométricos: Si las universidades, hospitales u operadoras cuentan con fotografías o huellas dactilares, dichos archivos deben cumplir con resoluciones mínimas (300 ppi para imágenes; 500 ppi para huellas en escala de grises de 8 bits). Antes de transmitirse en los flujos de notificación, deben convertirse a Base64 y ser estrictamente cifrados bajo el algoritmo criptográfico AES-256-GCM utilizando la contraseña única para biométricos otorgada a la entidad.
- Auditorías de Código de Entrega Obligatoria: Para obtener la autorización oficial de interconexión con el entorno de producción, las instituciones diversas tienen el deber ineludible de presentar los informes de vulnerabilidades emitidos por herramientas analíticas especializadas en pruebas de seguridad estáticas (SAST), dinámicas (DAST) y de análisis de composición de software (SCA). Dichos reportes deben evidenciar de manera obligatoria que la URL Base y los endpoints desarrollados se encuentran 100% libres de vulnerabilidades Críticas, Altas, Medias y Bajas.
Fundamento Legal y Consecuencias del Incumplimiento Normativo
El marco normativo que obliga a estos tres sectores se sustenta de manera general en la Constitución Política de los Estados Unidos Mexicanos, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General en Materia de Desaparición Forzada de Personas.
El Artículo 12 Bis, fracción V de la citada Ley General, junto con los Lineamientos publicados en el DOF, estipula que las instituciones diversas (personas morales) que posean registros o sistemas informáticos administrativos de relevancia nacional tienen la obligación legal de interconectarse con la PUI. La omisión en el desarrollo de la API, el retraso injustificado en la notificación de coincidencias o la falta de blindaje en los endpoints corporativos exponen a las empresas a multas financieras críticas por infracción, fincando responsabilidades civiles y administrativas graves, además del veto inmediato de sus canales digitales de intercambio de información.
¿Cómo soluciona los desafíos de la PUI en 2026?
Construir un desarrollo propio e in-house para adaptar los sistemas de un hospital, una red de telecomunicaciones o una universidad a las especificaciones del Manual Técnico de la PUI representa un desafío informático titánico. Los errores en la gestión de tokens JWT, las caídas de los endpoints ante peticiones simultáneas o fallas menores en la codificación UTF-8 pueden paralizar la operación regulatoria.
La adopción de tecnología RegTech especializada a través de conectores SaaS y APIs preconfiguradas es la alternativa más eficiente para los Directores de TI y Oficiales de Cumplimiento. Estas suites especializadas absorben por completo la complejidad del cifrado AES-256-GCM para biométricos, automatizan la renovación de tokens de acceso y estructuran de manera nativa los payloads en formato raw-JSON, permitiendo que la empresa logre una interconexión autorizada con la PUI en tiempo récord y sin alterar sus procesos de negocio ordinarios.
Conclusión
La expansión de la Plataforma Única de Identidad (PUI) hacia los sectores de la salud, las telecomunicaciones y la educación en 2026 marca un hito en la responsabilidad social y el cumplimiento normativo en México. Mitigar los riesgos de sanciones legales y caídas en las auditorías de código es un imperativo que los líderes de TI no deben postergar. ArmorAML® ofrece la infraestructura RegTech más avanzada, segura y confiable para resolver la interconexión con la PUI de manera inmediata. Nuestra plataforma SaaS está totalmente adaptada al Manual Técnico oficial, administrando las tres fases de búsqueda de forma automatizada y garantizando la protección absoluta de su entorno mediante cifrado AES-256-GCM y altos estándares validados de ciberseguridad SAST/DAST/SCA con niveles de vulnerabilidad cero. Dé el paso hacia el cumplimiento automatizado hoy mismo con el respaldo de los expertos de ArmorAML®.
Preguntas Frecuentes (FAQs)
¿Qué sectores se suman a la obligación de conectarse a la PUI en 2026?
Con la entrada en vigor del Manual Técnico, los sectores de salud (hospitales y aseguradoras), telecomunicaciones (operadoras móviles e internet) y educación (universidades) deben iniciar su interconexión formal.
¿Cuál es la función del Manual Técnico de la PUI?
Es el marco regulatorio e informático oficial que determina los requisitos, endpoints y flujos de datos obligatorios para que las instituciones diversas automaticen el intercambio de información en tiempo real.
¿Cómo aplica la Fase 1 de búsqueda en salud, telecom o educación?
Exige que ante un reporte activo, los sistemas internos localicen de inmediato y remitan los datos básicos de identidad más recientes del usuario (CURP, nombre, teléfonos) mediante el endpoint /notificar-coincidencia.
¿Qué establece la PUI sobre la Fase 2 (Búsqueda Histórica)?
Dictamina realizar una consulta retrospectiva en las bases institucionales desde la fecha de desaparición. Si dicha fecha supera los 12 años, la búsqueda se acotará a un periodo máximo de los últimos 12 años, requiriendo al cierre invocar /busqueda-finalizada.
¿Con qué frecuencia se debe ejecutar la Fase 3 (Búsqueda Continua)?
El manual técnico considera conveniente frecuencias típicas de procesamiento de cada hora, cada cuatro horas o una vez al día (24 horas), manteniendo el monitoreo activo hasta que se reciba una baja formal.
¿Qué endpoints debe exponer la institución diversa en sus servidores para recibir bajas?
Debe implementar y mantener bajo su URL base el endpoint obligatorio /desactivar-reporte, el cual es utilizado por la PUI para ordenar detener todos los procesos y consultas recurrentes automatizadas una vez que una persona ha sido localizada.
¿Cuáles son los requisitos de ciberseguridad obligatorios en la API?
Autenticación estricta con Bearer tokens basados en JWT, cifrado forzoso HTTPS con TLS 1.2 o superior (sin necesidad de VPN) y la presentación de auditorías de código SAST, DAST y SCA que demuestren estar 100% libres de vulnerabilidades (Críticas, Altas, Medias y Bajas).
¿Qué exige el Manual Técnico sobre el cifrado de datos biométricos?
Exige que las fotografías y huellas dactilares se conviertan a Base64 y se cifren obligatoriamente mediante el algoritmo criptográfico AES-256-GCM antes de su transmisión. La PUI actúa únicamente como nodo de consulta e interoperabilidad y no almacena de manera permanente estos archivos biométricos.
¿Cómo simplifica el RegTech la adopción de la PUI para estos sectores?
El RegTech especializado proporciona conectores SaaS y APIs robustas preconfiguradas que resuelven los ciclos de búsqueda, la renovación de tokens JWT y el cifrado complejo en minutos, evitando costosos desarrollos internos.
