El 27 de noviembre de 2025 se dieron a conocer los lineamientos para la Plataforma Única de Identidad, de la cual se crea una obligación para los particulares que presten servicios en ciertos sectores de mercado, para determinar la obligatoriedad es importante dirigirse a los lineamientos en el artículo 12 Bis fracción V que dice:
“Cualquier registro, base o sistema de información de particulares que presten servicios financieros, de transporte, salud física y mental, telecomunicaciones, educación, asistencia privada, paquetería y servicios de entrega, registros patronales y de seguridad social, religiosos, los establecimientos residenciales de atención a las adicciones así como toda institución privada que administre registros o bases de datos de personas, cuya consulta sea necesaria para la investigación, búsqueda, localización e identificación de Personas Desaparecidas o No Localizadas.”
El ámbito de aplicación es muy amplio y prácticamente integran a cualquier sector productivo del país que procese datos personales y en la tesitura de que debe estar apalancada de la necesidad de esta consulta para la investigación, búsqueda , localización e identificación, lo cual en términos generales es ampliamente aplicable a cualquier base de datos personales. También se debe destacar que la integración es obligatoria tanto técnica como administrativamente con base en el artículo 19 y 21 de los Lineamientos y que a su vez esta vinculado con los requisitos del articulo 91 sexies que exige la validación de la CURP en medios digitales, así como la obtención de la CURP para la prestación de tramites o servicios.
De los mismos lineamientos se establece que se realizará la definición de los Manuales Técnicos de operación tanto para las Instituciones Públicas como para las Instituciones Diversas, estas últimas son las que desprenden del articulo descrito con anterioridad, de ahí que el 23 de enero de 2026 en el Diario Oficial de la Federación en la publicación Vespertina se emite el manual.
Del Manual desprenden obligaciones técnicas, operativas, administrativas y de ciberseguridad que se describen a continuación:
Obligaciones Técnicas
- Las instituciones deben desarrollar sus propios servicios web (endpoints) para que la Plataforma Única de Identidad (PUI) pueda enviarles avisos
- Toda la información que intercambien debe estar en un formato estándar llamado UTF-8 para que no haya errores de lectura. Este es un elemento clave que permite que se pueda utilizar todo el alfabeto con símbolos, acentuaciones y caracteres especiales
- Implementar un sistema de monitoreo para la búsqueda continua y un mecanismo de resincronización para solventar posibles tiempos de inactividad. En otras palabras, deben tener un sistema que revise todo el tiempo si hay novedades y que sea capaz de reconectarse solo si el internet falla, por lo que la arquitectura de operación debe ser tolerante a fallas de comunicación y estar evaluando nuevas solicitudes.
Obligaciones Operativas
- Cuando reciben un reporte, primero deben buscar en sus archivos si tienen información que falte (como un teléfono o correo actualizado) para ayudar a identificar a la persona.
- Deben revisar sus registros pasados (hasta 12 años atrás) para ver si la persona tuvo alguna actividad después de que desapareció
- Una vez terminadas las búsquedas anteriores, deben dejar el nombre en una «lista de vigilancia» automática que avise de inmediato si la persona aparece en el futuro (por ejemplo, si intenta abrir una cuenta o hacer un trámite). Este proceso esta alineado al requisito de la Ley General de Población de solicitar CURP para la prestación de servicios.
- Siempre deben confirmar a la PUI que ya terminaron de revisar sus archivos históricos, hayan encontrado algo o no.
Obligaciones de Seguridad y Protección de Datos
- Deben usar «llaves» electrónicas (tokens JWT) para que nadie más pueda entrar a ver la información. Aunque los tokens JWT sin llave no son tan seguros están establecidos como mecanismo de seguridad en la plataforma.
- Los datos sensibles como fotos y huellas dactilares deben estar fuertemente cifrados (codificados) antes de enviarse para que sean ilegibles si alguien intenta interceptarlos. Para ello las fotos y huellas deben convertirse a base64 y cifrarse obligatoriamente mediante AES-256-GCM con una contraseña proporcionada por la institución.
- El uso de certificados TLS 1.2 o superior es obligatorio para todas las comunicaciones.
- Antes de empezar a funcionar, deben entregar reportes que demuestren que sus sistemas no tienen debilidades o «agujeros» por donde un hacker pueda entrar. Para ello se deben realizar pruebas de seguridad DAST, SAST y SCA que deben estar libres de cualquier vulnerabilidad y que deben ser presentadas como requisito para la interconexión.
- Mantener un registro estructurado de todas las interacciones, incluyendo solicitudes recibidas, consultas internas y respuestas enviadas a la PUI. Para lo cual, se debe mantener un almacenamiento de todas estas trazas ya que servirá como mecanismo de comprobación en caso de que se realice una revisión de cumplimiento y también para revisiones en materia de Protección de Datos Personales.
Obligaciones administrativas
- El representante legal debe realizar el alta de la institución vinculando su e.Firma de Persona Moral vigente. Asimismo, debe mantener un monitoreo y actualización de su E.firma ante la autoridad competente y la Plataforma para evitar desconexiones por seguridad. Este registro se realizará a través de la LlaveMX del representante Legal y realizando el registro de la persona moral.
- Utilizar estrictamente el RFC con homoclave como identificador inalterable en todas las estructuras de datos.
A continuación, una lista de verificación para el cumplimiento:
| Elemento de cumplimiento | Cumple | Descripción |
| IP Pública Fija: Contar con una dirección IP estática para facilitar las listas blancas y el monitoreo. | ||
| Certificado TLS: Instalar un certificado de seguridad válido con soporte para TLS 1.2 o superior | ||
| URL Base Única: Definir una ruta base única (ej. https://api.institucion.mx/pui) de la cual colgarán los endpoints estándar. | ||
| Codificación Universal: Configurar el servidor para que toda la información se intercambie estrictamente en formato UTF-8. | ||
| Endpoint de Autenticación (/login): Implementar el acceso mediante usuario «PUI» y una clave de entre 16 y 20 caracteres con requisitos de complejidad. | ||
| Endpoint de Activación (/activar-reporte): Crear el servicio tipo POST para recibir el identificador único (id) y los datos de la persona desaparecida. | ||
| Endpoint de Pruebas (/activar-reporte-prueba): Implementar este servicio para validar la conectividad del Webhook antes de pasar a producción | ||
| Endpoint de Cierre (/desactivar-reporte): Desarrollar la función para detener las búsquedas periódicas y dar de baja el caso en sistemas internos cuando la persona sea localizada. | ||
| Búsqueda de Datos Básicos: Programar la búsqueda automática de campos como CURP, nombre, contacto, domicilio, fotos y huellas para completar el reporte inicial. | ||
| Búsqueda Histórica: Configurar la consulta de registros pasados, limitada a un máximo de 12 años desde la fecha de desaparición. | ||
| Búsqueda Continua: Establecer una tarea programada (cron job) para revisar registros nuevos o modificados con frecuencia (ej. cada hora o una vez al día). | ||
| Notificación de Resultados: Asegurar el envío de coincidencias al endpoint /notificar-coincidencia de la PUI, diferenciando el valor de fase_busqueda (1, 2 o 3) | ||
| Proceso de confirmación de Término: Garantizar que el sistema llame a /busqueda-finalizada al terminar las fases iniciales, sin importar si hubo hallazgos. | ||
| Protección JWT: Validar la firma y vigencia de los tokens en cada solicitud; responder con error 401 o 403 ante accesos indebidos. | ||
| Cifrado de Biométricos: Aplicar cifrado AES-256-GCM a los archivos biométricos previamente convertidos a base64. | ||
| Sanitización de Entradas: Validar todos los parámetros por tipo, longitud y formato para prevenir ataques de inyección. | ||
| Trazabilidad de Auditoría: Implementar bitácoras de eventos (logs) que registren solicitudes, consultas internas y respuestas, evitando guardar datos sensibles como tokens completos o contraseñas. | ||
| Pruebas SAST, DAST y SCA: Ejecutar estas evaluaciones y asegurar que los reportes muestren cero vulnerabilidades de cualquier nivel (Crítica a Baja). | ||
| Validación de Sandbox: Superar las pruebas funcionales y de conectividad en el ambiente de pruebas antes de solicitar el paso a producción. |
El manual técnico abre la puerta a la necesidad de implementar de forma interna en las empresas nuevos procesos que están en el orden de mejor identificación de los clientes y todas las personas que interactúan con la organización, también establece una necesidad de control estricto de la protección de datos personales, diseño de arquitecturas tecnológicas bajo los conceptos de continuidad operativa y sin lugar a duda pone una vara alta en materia de ciberseguridad aun y cuando el modelo prevé algunas deficiencias que las empresas deben resolver.
Este manual cierra la pinza de un conjunto de reformas que se han dado en el transcurso del año 2025 y que establecen un paradigma de integración de la tecnología en las actividades administrativas de las organizaciones en su interacción con las autoridades.
*Imagen creada con IA.
