1. Qué es la PUI y por qué existe
La Plataforma Única de Identidad (PUI) es una infraestructura tecnológica operada por el Registro Nacional de Población (RENAPO), con apoyo técnico de la Agencia de Transformación Digital y Telecomunicaciones, diseñada para un propósito humanitario muy específico: apoyar la búsqueda, localización e identificación de personas desaparecidas o no localizadas.
Su mecánica es sencilla en el papel: cuando la Comisión Nacional de Búsqueda (CNB) registra un caso de desaparición, la PUI distribuye automáticamente una alerta a todas las instituciones conectadas —públicas y privadas— para que cada una busque en sus propias bases de datos si tiene información relevante sobre esa persona. Si hay coincidencia, la institución lo notifica de vuelta a la PUI. Si no, entra en modo de vigilancia continua hasta que el caso se cierre.
Es importante entender algo: la PUI no es un repositorio centralizado de datos personales. El gobierno no ve tu base de datos completa. Tu institución solo responde sobre CURPs específicas que la PUI consulta, siempre dentro del contexto de una investigación activa. El diseño protege tanto la privacidad de tus clientes como las obligaciones de secrecía que puedan aplicar a tu sector (bancaria, médica, etc.).
México es actualmente el país con mayor número de acciones urgentes por desaparición forzada a nivel mundial. La PUI surge como respuesta a esa crisis, con participación obligada del sector privado porque los datos personales que manejan bancos, hospitales, universidades y telcos pueden ser la clave para localizar a alguien rápidamente.
2. Marco legal: qué dice exactamente la ley
La obligación de conectarse a la PUI no es una recomendación ni una buena práctica: es una obligación legal federal que emana de tres instrumentos principales:
Artículo 12 Bis de la LGMDFP
La Ley General en Materia de Desaparición Forzada de Personas (LGMDFP), reformada el 16 de julio de 2025, establece en su Artículo 12 Bis, fracción V, que cualquier particular cuya base de datos sea útil para la investigación de personas desaparecidas está obligado a interconectarse con la PUI. Esto incluye tanto datos de identificación (nombre, CURP, contacto) como eventos administrativos (trámites, servicios, atenciones).
Lineamientos DOF 27 de noviembre de 2025
Los Lineamientos para el Desarrollo y Operación de la Plataforma Única de Identidad, publicados en el Diario Oficial de la Federación, definen los principios operativos: licitud, proporcionalidad, necesidad, finalidad y responsabilidad en el acceso y uso de la información.
Manual Técnico DOF 23 de enero de 2026
El Manual Técnico de la Solución Tecnológica para Instituciones Diversas es el documento operativo clave. Define la arquitectura técnica: estructura de endpoints, formato de solicitudes y respuestas, protocolo de autenticación JWT, requisitos de seguridad (SAST, DAST, SCA), cifrado AES-256-GCM para biométricos, y procesos de validación en sandbox antes de producción.
Plazo formal de inscripción y manual pendiente
La Ley establece un plazo de 45 días hábiles para que las instituciones obligadas soliciten su inscripción técnica en la PUI. Ese plazo comienza a correr a partir de la publicación completa de los manuales que integran la solución tecnológica.
A la fecha de publicación de esta guía (abril de 2026), se han publicado los Lineamientos (27/11/2025) y el Manual Técnico para Instituciones Diversas (23/01/2026), pero queda al menos un manual complementario pendiente de publicación en el DOF. Esto significa que, técnicamente, el reloj de los 45 días hábiles aún no termina de correr en su totalidad para todos los supuestos regulatorios.
No todas las instituciones están en la misma posición. El sector financiero ya recibió confirmación explícita de la CNBV (ver siguiente punto) y debe avanzar con urgencia. Para otros sectores, el plazo formal aún no ha terminado de activarse al 100%. Sin embargo, iniciar el proceso de preparación con anticipación sigue siendo la estrategia recomendada: la inscripción, el desarrollo técnico y las pruebas de seguridad toman semanas incluso bajo condiciones favorables.
Confirmación CNBV 31 de marzo de 2026
La Comisión Nacional Bancaria y de Valores confirmó oficialmente que todas las entidades e instituciones del sistema financiero mexicano deben interconectarse con la PUI. Esto disipó cualquier duda sobre si la obligación aplicaba al sector financiero (aplica).
3. ¿Tu institución está obligada? Sectores cubiertos
La pregunta correcta no es "¿tengo que conectarme?". Es "¿mi institución maneja datos personales con CURP que podrían ser útiles en una búsqueda?". Si la respuesta es sí —y si tienes clientes, pacientes, alumnos, afiliados o empleados mexicanos, la respuesta es sí— estás obligado.
En la práctica, los sectores directamente alcanzados por el Artículo 12 Bis incluyen:
| Sector | Ejemplos de instituciones |
|---|---|
| Sector financiero | Bancos múltiples, SOFOMES, fintech, casas de cambio, uniones de crédito, fondos de inversión, afores, casas de bolsa, transmisores de dinero |
| Seguros y fianzas | Aseguradoras, afianzadoras, reaseguradoras, intermediarios |
| Salud privada | Hospitales, clínicas, laboratorios, consultorios, centros de atención a adicciones |
| Educación | Universidades, preparatorias privadas, institutos técnicos, registros académicos |
| Telecomunicaciones | Telefonía móvil y fija, proveedores de internet, plataformas de streaming con registro |
| Transporte | Aerolíneas, paquetería, entrega a domicilio, transporte terrestre interestatal |
| Otros regulados | Inmobiliarias, registros patronales, asociaciones religiosas con registro, instituciones con obligaciones KYC |
La lista anterior no es exhaustiva. El criterio legal es funcional: si tus registros pueden ser útiles para localizar a una persona desaparecida, tu institución queda alcanzada. En la duda, consulta con asesoría legal, pero la tendencia regulatoria es clara y amplia.
4. Las 3 fases de búsqueda: cómo funciona operativamente
El Manual Técnico estructura el proceso de búsqueda en tres fases con alcance, endpoints y tiempos de respuesta específicos. Entender estas fases es clave para dimensionar el esfuerzo de implementación.
Fase 1 — Búsqueda inmediata de datos básicos
Cuando la CNB registra un caso, la PUI dispara una alerta hacia el endpoint /activar-reporte de tu institución. Tu sistema debe responder en segundos con los datos de identificación más recientes que tengas sobre esa CURP: nombre completo, datos de contacto (teléfono, correo), domicilio registrado, y en algunos sectores, fotografía y huella dactilar cifradas. Si no hay coincidencia, se responde "sin coincidencia, en seguimiento" y el caso pasa automáticamente a Fase 3.
Fase 2 — Búsqueda histórica (hasta 12 años)
Si la desaparición no es reciente, la PUI puede pedir un rastreo histórico. Tu sistema debe buscar en sus registros de hasta 12 años atrás cualquier evento o trámite asociado a esa CURP: transacciones, citas médicas, inscripciones, llamadas, etc. Al terminar, se notifica el resultado mediante el endpoint /busqueda-finalizada. Esta fase es intensiva en procesamiento y requiere acceso a sistemas históricos o de archivo.
Fase 3 — Vigilancia continua
Los casos sin coincidencia inmediata no se descartan: quedan bajo monitoreo permanente automatizado. Tu sistema debe ejecutar un proceso recurrente (típicamente nocturno, a veces cada pocas horas) que verifique si la persona ha realizado algún trámite nuevo. Cada coincidencia futura se notifica inmediatamente a la PUI mediante webhook. La vigilancia continúa hasta que la CNB localice a la persona y notifique el cierre del caso vía /desactivar-reporte.
5. Requisitos técnicos detallados
La PUI no es un plugin ni un widget que instalas. Es un componente de software dedicado, desplegado en tu infraestructura (o en la nube), disponible 24/7, accesible desde internet y que cumple con un conjunto estricto de requisitos de seguridad:
Autenticación y cifrado
- JWT (JSON Web Tokens): cada petición hacia y desde la PUI debe estar firmada con un Bearer Token JWT válido. Tu sistema debe validar la firma del token gubernamental, verificar claims (iss, exp, sub, aud) y rechazar tokens expirados.
- TLS 1.2 o superior: toda comunicación exclusivamente por HTTPS. Nada de HTTP simple.
- AES-256-GCM: cifrado obligatorio para datos biométricos (fotografías, huellas dactilares) cuando aplique.
- Renovación de tokens y credenciales: rotación periódica automática, sin intervención manual.
Pruebas de ciberseguridad obligatorias
El Manual Técnico, en su §10, exige la entrega de tres reportes de análisis de seguridad antes de pasar a producción:
- SAST (Static Application Security Testing): análisis estático del código fuente.
- DAST (Dynamic Application Security Testing): pruebas dinámicas simulando ataques reales.
- SCA (Software Composition Analysis): análisis de dependencias y librerías en busca de vulnerabilidades conocidas.
Infraestructura y disponibilidad
- Endpoint público accesible desde internet con SLA 24/7.
- Capacidad de recibir peticiones concurrentes sin degradar el servicio interno de la institución.
- Sistema de bitácoras y auditoría de todos los intercambios (por exigencia regulatoria y para defensa propia ante auditorías).
- Monitoreo de downtime con reintentos automáticos ante fallas puntuales.
Registro operativo previo
Antes de empezar a desarrollar, el representante legal de tu institución necesita:
- e.Firma vigente del SAT (a nombre de la persona moral).
- Cuenta Llave MX con perfil de Persona Moral verificada.
- Buzón institucional de notificaciones activo.
- Acceso al portal
plataformadebusqueda.gob.mx/inscripcionpara tramitar la inscripción.
No pelees con la infraestructura, delégala
KonektaPUI es la plataforma de Logic Systems que implementa toda la arquitectura técnica del Manual Técnico por ti: endpoints, JWT, cifrado AES-256-GCM, pruebas SAST/DAST/SCA, renovación automática de tokens y auditoría completa. La solución opera sobre infraestructura dedicada y redundante, gestionada por Logic Systems, con monitoreo 24/7. Tú cargas tu base de datos por Excel —integración directa por API próximamente— y nosotros hacemos la conexión con la PUI. Implementación en 3 a 5 días hábiles.
Solicitar cotización6. Multas y sanciones del Artículo 43 Bis
El incumplimiento no es barato. El Artículo 43 Bis de la LGMDFP establece un rango de sanciones para los particulares que no permitan el acceso o no proporcionen información a la PUI:
| Infracción | Sanción (UMAs) | Equivalente en pesos (UMA 2026: $117.31) |
|---|---|---|
| No permitir acceso / no proporcionar información (mínima) | 10,000 UMAs | $1,173,100 MXN |
| No permitir acceso / no proporcionar información (máxima) | 20,000 UMAs | $2,346,200 MXN |
Las sanciones son aplicadas por la Secretaría de Gobernación (SEGOB). Y son por infracción, no por institución. Si tu organización omite responder a múltiples solicitudes, las multas se pueden acumular.
Además del Artículo 43 Bis, la omisión de datos relevantes en investigaciones de personas desaparecidas puede derivar en responsabilidad penal por encubrimiento para los funcionarios o directivos involucrados. No estamos hablando solo de un costo empresarial: hay un componente personal que los órganos de gobierno corporativo deben considerar.
7. Pasos concretos para conectarte
Si llegaste a esta guía buscando un plan de acción, aquí está el paso a paso que recomendamos seguir, tanto si vas a desarrollarlo internamente como si vas a contratar una solución externa.
- Designa a un responsable interno. Típicamente el Oficial de Cumplimiento o el Director de Riesgos. Necesitas a alguien que coordine áreas legal, TI, seguridad y operaciones.
- Evalúa el alcance de tus bases de datos. ¿Cuántos registros con CURP tienes? ¿Están en un solo sistema o dispersos? ¿Tienes histórico de 12 años? Esto define la complejidad del proyecto.
- Revisa requisitos legales de tu sector. Algunos sectores (financiero especialmente) tienen obligaciones adicionales de secrecía que hay que compatibilizar con la conexión a la PUI. Asesoría legal especializada es recomendable.
- Tramita los prerrequisitos formales. e.Firma del SAT, Llave MX de Persona Moral, buzón institucional. Sin esto, no puedes ni siquiera empezar la inscripción.
- Decide: in-house o SaaS. Ver siguiente sección para detalles del costo-beneficio.
- Registra la institución en el portal de inscripción de RENAPO. Proporcionas datos institucionales, la URL de tu webhook y credenciales iniciales.
- Implementa los endpoints técnicos. Conforme al Manual Técnico vigente del DOF.
- Realiza pruebas en sandbox. RENAPO opera un ambiente de pruebas para validar conectividad, formatos, tiempos de respuesta y manejo de errores.
- Ejecuta las pruebas SAST, DAST y SCA. Y documenta los resultados. Son entregables obligatorios.
- Capacita al equipo operativo. Aunque el sistema sea automático, hay supervisión humana requerida para casos excepcionales y reportes.
- Pasa a producción. Y establece monitoreo continuo desde el día uno.
8. Construir in-house vs. contratar SaaS: análisis honesto
Esta es probablemente la decisión más importante del proyecto. Te la planteamos con números transparentes:
| Aspecto | Desarrollo in-house | Solución externa |
|---|---|---|
| Tiempo de implementación | 4 a 12 semanas típico | 3 a 5 días hábiles |
| Equipo requerido | 2 a 4 ingenieros senior (criptografía, backend, DevOps) | Un solo administrador del sistema |
| Costo de desarrollo | $150,000 a $500,000 MXN aprox. | Incluido en renta anual |
| Infraestructura | Servidor propio 24/7 + certificados + monitoreo | Infraestructura dedicada y redundante incluida |
| Mantenimiento continuo | Actualizaciones, renovación tokens, cambios en Manual Técnico | Gestionado por el proveedor |
| Pruebas SAST/DAST/SCA | Contratación adicional o equipo interno de seguridad | Incluidas |
| Responsabilidad técnica | 100% tu institución | Compartida con el proveedor |
El desarrollo in-house tiene sentido si tu institución ya tiene un equipo robusto de ingeniería con experiencia en APIs gubernamentales, y si el volumen de tu operación justifica una solución hecha a la medida. En la práctica, esto describe a muy pocas instituciones fuera de los bancos grandes.
Para la mayoría —SOFOMES medianas, hospitales, universidades, aseguradoras, fintechs en crecimiento— una solución SaaS especializada es significativamente más eficiente en tiempo, costo y riesgo. La ventaja clave es que el proveedor absorbe los cambios regulatorios futuros (y los habrá: el Manual Técnico ya ha tenido actualizaciones desde su publicación inicial).
Si tu institución nunca ha construido integraciones con plataformas gubernamentales, no empieces con esta. La curva de aprendizaje es larga y las consecuencias de fallar (multas y responsabilidad penal) son serias. Una solución SaaS te pone en cumplimiento en días y te deja enfocar tus recursos técnicos en lo que genera valor para tu negocio.
9. Preguntas frecuentes
¿El plazo del 31 de marzo de 2026 ya venció? ¿Estoy en problemas si aún no me conecto?
La situación es matizada. El 31 de marzo es la fecha que resulta de aplicar los 45 días hábiles contados a partir de la publicación del Manual Técnico para Instituciones Diversas (23/01/2026). Sin embargo, la Ley exige la publicación completa de los manuales que integran la solución tecnológica, y aún queda al menos un manual complementario pendiente en el DOF. En la práctica, esto significa que el plazo formal no ha terminado de correr plenamente para todos los sectores.
El caso diferenciado es el sector financiero: la CNBV confirmó explícitamente la obligación el 31/03/2026, por lo que bancos, SOFOMES, fintech, casas de bolsa y afines deben actuar con urgencia.
Para los demás sectores, lo recomendable es iniciar ya el proceso (prerrequisitos, análisis de bases de datos, decisión in-house vs. externa) para estar listos cuando el plazo se active plenamente. Llegar tarde con la excusa del plazo pendiente no va a servir: los 45 días hábiles alcanzan apenas para tramitar prerrequisitos básicos.
¿La PUI puede ver mi base de datos completa o mis transacciones financieras?
No. El modelo es descentralizado: tu institución solo responde sobre CURPs específicas relacionadas con personas reportadas como desaparecidas. El gobierno no tiene acceso permanente a tus datos ni a información financiera, médica o personal sensible. La PUI hace una consulta puntual y tú respondes con datos acotados al contexto de esa investigación.
¿Qué pasa si mi base de datos tiene CURPs incorrectas o incompletas?
Es más común de lo que se cree. Parte del proyecto de implementación incluye una fase de limpieza y validación de CURPs. La PUI también ofrece servicios de validación que puedes consumir durante la carga inicial. Las instituciones con mejor higiene de datos tienen implementaciones más sencillas.
¿Cómo afectan las obligaciones de secrecía (bancaria, médica, etc.) a la conexión?
La CNBV fue explícita al confirmar que la participación se realiza mediante mecanismos controlados que identifican coincidencias de CURP sin compartir información financiera ni vulnerar obligaciones de secrecía. El mismo principio aplica al secreto médico: lo que se comparte es información que permite la localización (contacto, domicilio), no diagnósticos ni tratamientos.
¿Qué pasa cuando localizan a la persona?
La Comisión Nacional de Búsqueda notifica a la PUI, y la PUI a su vez notifica a las instituciones conectadas mediante el endpoint /desactivar-reporte. Tu sistema da de baja automáticamente esa CURP de la vigilancia continua.
Naturaleza del contenido. Esta guía tiene fines exclusivamente informativos y divulgativos. No constituye ni pretende sustituir asesoría legal, fiscal, regulatoria o técnica profesional especializada. Logic Systems (Creación Integral de Tecnología S.A. de C.V.) es una empresa de desarrollo de software; no es despacho jurídico ni ofrece servicios legales.
Precisión y actualidad. La información presentada se basa en los textos publicados en el Diario Oficial de la Federación al momento de redactarse este contenido (abril de 2026), principalmente la Ley General en Materia de Desaparición Forzada de Personas, sus reformas vigentes, los Lineamientos publicados el 27 de noviembre de 2025 y el Manual Técnico publicado el 23 de enero de 2026. La normativa mexicana está sujeta a reformas, actualizaciones, interpretaciones oficiales y criterios jurisprudenciales que pueden modificar el alcance, los plazos, los montos o los requisitos descritos aquí. Recomendamos verificar la información con las fuentes oficiales antes de tomar cualquier decisión.
Aplicación a casos específicos. La determinación de si una institución en particular está obligada al cumplimiento, el alcance concreto de dicha obligación, las obligaciones de secrecía aplicables a cada sector, la interacción con otras leyes (Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Ley de Instituciones de Crédito, Ley General de Salud, etc.) y la estrategia de implementación son cuestiones que deben analizarse caso por caso por un profesional del derecho con cédula vigente.
Limitación de responsabilidad. Logic Systems no se hace responsable de decisiones tomadas o dejadas de tomar con base únicamente en esta guía, ni de interpretaciones que se desprendan de la misma. La información relativa a KonektaPUI como producto refleja las características del servicio al momento de esta publicación y puede variar según el paquete contratado.
Fuentes oficiales recomendadas. Para consulta directa: Cámara de Diputados (texto vigente de la LGMDFP), Diario Oficial de la Federación, Portal oficial de RENAPO (SEGOB).
¿Necesitas conectarte y no quieres meses de desarrollo interno?
KonektaPUI implementa toda la arquitectura técnica del Manual Técnico y te conecta a la PUI de RENAPO en días, no en semanas. Incluye infraestructura, ciberseguridad, soporte y capacitación.
Solicitar cotización sin compromiso