La Plataforma Única de Identidad (PUI) es una infraestructura tecnológica del gobierno de México que interconecta bases de datos públicas y privadas para fortalecer la búsqueda de personas desaparecidas o no localizadas. RENAPO coordina su operación con apoyo de la Agencia de Transformación Digital y Telecomunicaciones. En esta guía explicamos qué es la Plataforma Única de Identidad, qué sectores deben integrarse, los requisitos técnicos y las sanciones.
Actualización 31/03/2026: La CNBV confirmó oficialmente que todas las entidades e instituciones del sistema financiero mexicano deben interconectarse con la Plataforma Única de Identidad. La participación se realiza mediante mecanismos controlados que identifican coincidencias de CURP sin compartir información financiera ni vulnerar obligaciones de secrecía. Fuente: gob.mx/cnbv
¿Qué es la Plataforma Única de Identidad (PUI)?
La Plataforma Única de Identidad es una infraestructura de interconexión institucional que permite realizar búsquedas continuas de personas reportadas como desaparecidas o no localizadas, dar seguimiento al uso de su CURP en registros públicos y privados, y emitir alertas en tiempo real a las autoridades competentes cuando se detecte actividad relevante.
La Plataforma Única de Identidad no es un simple padrón ni una base de datos de consulta puntual. Es un sistema de interoperabilidad que conecta múltiples fuentes de información para que, cuando una CURP vinculada a una persona desaparecida genere movimientos o actualizaciones en sistemas conectados, exista un mecanismo para detectar esa actividad y alertar oportunamente.
RENAPO (Registro Nacional de Población) es la autoridad encargada de establecer los procedimientos de gestión, control de accesos y trazabilidad de la operación de la Plataforma Única de Identidad. La Agencia de Transformación Digital y Telecomunicaciones brinda el apoyo técnico, y toda mejora o actualización de la plataforma se realiza bajo esta coordinación.
En otras palabras: la PUI es una arquitectura regulatoria que exige interoperabilidad real entre instituciones públicas y privadas para un objetivo humanitario: encontrar personas desaparecidas.
¿Para qué sirve la Plataforma Única de Identidad?
La Plataforma Única de Identidad sirve para que la búsqueda de personas desaparecidas o no localizadas no dependa de consultas aisladas, lentas o manuales. Su modelo permite interconectar registros de múltiples instituciones y habilitar un seguimiento continuo basado en la CURP como identificador único.
El funcionamiento se basa en tres capacidades:
- Búsquedas continuas: La plataforma puede consultar de forma permanente las bases de datos conectadas para localizar actividad vinculada a una CURP reportada.
- Seguimiento de actividad: Cuando una CURP relacionada con una persona desaparecida genera movimientos, registros o actualizaciones en un sistema conectado, la Plataforma Única de Identidad puede detectar esa actividad.
- Alertas en tiempo real: El sistema notifica a las autoridades competentes cuando se identifica actividad relevante, permitiendo una respuesta oportuna.
Este enfoque de detección y alerta en tiempo real es lo que convierte a la Plataforma Única de Identidad en un proyecto estratégico de Estado. No es una plataforma administrativa más: es un mecanismo de coordinación interinstitucional con implicaciones técnicas, operativas y legales directas para el sector privado.
¿Qué sectores están obligados a integrarse con la PUI?
El marco normativo de la Plataforma Única de Identidad establece la interconexión de registros, bases de datos o sistemas de información de particulares que presten servicios en sectores específicos. La obligación no se limita a instituciones públicas: alcanza directamente al sector privado.
Sectores con obligación de interconexión
| Sector | Ejemplos de instituciones obligadas |
|---|---|
| Servicios financieros | Bancos, SOFOMes, SOFIPOs, SOCAPs, casas de bolsa, aseguradoras, centros cambiarios, fintech y toda entidad regulada por la CNBV (confirmado 31/03/2026) |
| Transporte | Aerolíneas, autobuses foráneos, plataformas de movilidad |
| Salud física y mental | Hospitales, clínicas, laboratorios, consultorios privados |
| Telecomunicaciones | Operadores de telefonía, proveedores de internet |
| Educación | Universidades, escuelas privadas, plataformas educativas |
| Asistencia privada | Instituciones de asistencia, albergues, fundaciones |
| Paquetería y entrega | Empresas de mensajería, logística y entregas |
| Registros patronales | Empresas con registros de seguridad social y nómina |
| Servicios religiosos | Instituciones religiosas con registros de feligreses |
| Atención a adicciones | Centros de rehabilitación y clínicas residenciales |
| Hospedaje | Hoteles, moteles y establecimientos de alojamiento que registran huéspedes con CURP o identificación oficial |
Instituciones con obligaciones adicionales
Además de los sectores anteriores, el marco normativo de la Plataforma Única de Identidad establece obligaciones específicas para:
- Establecimientos regulados por la Ley General de Salud y centros residenciales de atención a adicciones que recaben, utilicen o conserven datos biométricos.
- Centros de reinserción social, centros de asistencia social y estaciones migratorias con manejo de datos biométricos.
- Instituciones públicas o privadas que tengan bajo resguardo cuerpos o restos humanos.
- Instituciones que generen o tengan acceso a imágenes producidas por satélites, aeronaves no tripuladas o tecnologías similares.
El alcance es amplio: si una organización administra información de personas y esa información puede ser relevante para la búsqueda, localización o identificación de personas desaparecidas, la obligación de integrarse con la Plataforma Única de Identidad le aplica.
¿Qué requisitos técnicos exige la integración con la PUI?
Cumplir con la Plataforma Única de Identidad no se limita a enviar datos. La documentación técnica exige que cada institución obligada desarrolle un servicio backend propio que funcione como punto de integración con la plataforma. Este servicio debe estar disponible de forma continua y ser accesible de manera segura desde internet.
Componentes del servicio backend
| Componente | Descripción |
|---|---|
| Endpoints de integración | El backend debe exponer endpoints específicos conforme al Manual Técnico de la PUI para recibir y responder solicitudes |
| Autenticación JWT | La comunicación entre la institución y la Plataforma Única de Identidad se autentica mediante JSON Web Tokens (JWT) |
| Consulta interna por CURP | El servicio debe poder consultar los sistemas internos de la institución utilizando la CURP como identificador |
| Construcción de respuestas | Las respuestas deben construirse conforme a la estructura definida en el Manual Técnico |
| Disponibilidad continua | El servicio debe estar operativo de forma permanente, no solo en horario laboral |
| Acceso seguro por internet | El endpoint debe ser accesible desde internet con cifrado TLS obligatorio |
El flujo técnico funciona así: la Plataforma Única de Identidad envía una solicitud de búsqueda al endpoint de la institución; el servicio backend valida la solicitud, consulta sus sistemas internos por CURP, construye la respuesta conforme al Manual Técnico y la devuelve a la plataforma. Todo bajo autenticación JWT y comunicación cifrada.
Esto significa que cada institución obligada necesita capacidad de desarrollo de software, infraestructura de servidores y personal técnico que entienda tanto el protocolo de la PUI como los sistemas internos de la organización.
Si tu institución no cuenta con equipo de desarrollo interno, KYC PUI es nuestra solución dedicada que implementa la integración completa con la Plataforma Única de Identidad: endpoints, autenticación JWT, cifrado AES-256-GCM, pruebas SAST/DAST/SCA y validación en Sandbox, en 3 a 5 días hábiles.
¿Qué medidas de ciberseguridad requiere la PUI?
La integración con la Plataforma Única de Identidad no solo exige conectividad: exige conectividad segura, validada y auditada. El Manual Técnico establece medidas de seguridad que van más allá de lo que muchas instituciones tienen implementado actualmente.
Requisitos de seguridad obligatorios
| Categoría | Requisito |
|---|---|
| Cifrado | Comunicación obligatoria bajo TLS; información cifrada tanto en tránsito como en almacenamiento |
| Autenticación | Autenticación robusta mediante JWT con controles por endpoint |
| Endurecimiento de servidor | Deshabilitación de protocolos inseguros, protección contra exposición de versiones o headers sensibles |
| Validación de entradas | Protección contra XSS, SQL Injection mediante consultas preparadas y validación estricta de datos |
| Trazabilidad | Log de accesos auditable con monitoreo continuo de la infraestructura |
| Control de accesos | Gestión de permisos por endpoint con registros de quién accede a qué información |
Reportes de seguridad obligatorios: SAST, DAST y SCA
Para conectarse a la Plataforma Única de Identidad, la institución debe entregar tres tipos de reportes de seguridad realizados sobre la URL base y los endpoints desarrollados:
- SAST (Static Application Security Testing): Análisis estático del código fuente para detectar vulnerabilidades antes de la ejecución.
- DAST (Dynamic Application Security Testing): Pruebas dinámicas sobre la aplicación en ejecución para identificar vulnerabilidades explotables.
- SCA (Software Composition Analysis): Análisis de las dependencias y bibliotecas de terceros para verificar que no contengan vulnerabilidades conocidas.
Estos reportes deben demostrar que la ruta base y los endpoints evaluados están libres de vulnerabilidades críticas, altas, medias y bajas. Deben incluir alcance, metodología, herramientas utilizadas, fecha de ejecución, ambiente productivo y URLs validadas.
En la práctica, esto convierte la integración con la Plataforma Única de Identidad en un proyecto de ciberseguridad, no solo de desarrollo.
¿Cuáles son las sanciones por no cumplir con la PUI?
El marco legal reformado prevé sanciones para los particulares obligados que no permitan acceso a la información, no la proporcionen cuando sea requerida o no la mantengan actualizada. Las multas pueden alcanzar montos significativos.
| Supuesto | Sanción en UMA | Equivalente en pesos (UMA 2026: $117.31) |
|---|---|---|
| No permitir acceso o no proporcionar información requerida | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
| No mantener actualizada la información | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
Más allá de las multas, el incumplimiento implica un riesgo reputacional considerable. La Plataforma Única de Identidad está vinculada a la búsqueda de personas desaparecidas, un tema de alta sensibilidad social y mediática en México. Una institución que obstaculice o no coopere con este esfuerzo enfrenta no solo consecuencias legales sino también daño a su imagen pública.
¿Qué significa la PUI para el sector privado?
La Plataforma Única de Identidad convierte una obligación jurídica en un proyecto transversal que impacta simultáneamente a cuatro áreas de la organización: dirección general, jurídico y compliance, TI y desarrollo, y ciberseguridad.
Impacto por área
| Área | Impacto de la Plataforma Única de Identidad |
|---|---|
| Dirección general | Exposición regulatoria, presupuesto para desarrollo e infraestructura, riesgo reputacional |
| Jurídico y compliance | Interpretación del marco normativo, alcance de la obligación, gestión de riesgos legales |
| TI y desarrollo | Diseño y construcción del API backend, integración con sistemas internos, disponibilidad continua |
| Ciberseguridad | Endurecimiento de infraestructura, pruebas SAST/DAST/SCA, cifrado, trazabilidad y monitoreo |
Las instituciones que empiecen a prepararse antes tendrán ventaja. No solo para cumplir dentro del plazo, sino para hacerlo con orden, menor fricción operativa y menos riesgo de rechazos técnicos durante el proceso de validación.
Las preguntas que toda institución obligada debe responder son:
- ¿Mi institución entra dentro de los sectores obligados?
- ¿Qué sistemas internos pueden consultarse por CURP?
- ¿Cómo debe diseñarse el backend de integración?
- ¿Qué endpoints debemos implementar conforme al Manual Técnico?
- ¿Cómo autenticamos con JWT de forma correcta?
- ¿Cómo generamos bitácoras y trazabilidad auditables?
- ¿Qué evidencia debemos preparar para la aprobación?
- ¿Cómo pasamos las pruebas SAST, DAST y SCA sin frenar el proyecto?
Preguntas frecuentes sobre la Plataforma Única de Identidad
¿Qué es RENAPO y qué papel tiene en la PUI?
RENAPO (Registro Nacional de Población) es la autoridad encargada de coordinar la operación de la Plataforma Única de Identidad. Establece los procedimientos de gestión, control de accesos y trazabilidad de la plataforma, con apoyo técnico de la Agencia de Transformación Digital y Telecomunicaciones.
¿La Plataforma Única de Identidad solo aplica a instituciones públicas?
No. La Plataforma Única de Identidad aplica tanto a instituciones públicas como privadas. Cualquier organización que administre registros o bases de datos de personas y cuya información pueda ser relevante para la búsqueda, localización e identificación de personas desaparecidas puede estar obligada a integrarse.
¿Qué es el Manual Técnico de la PUI?
Es el documento que define la especificación técnica para la integración: estructura de endpoints, formato de solicitudes y respuestas, protocolo de autenticación JWT, requisitos de seguridad y proceso de validación. Las instituciones deben construir su backend conforme a este manual.
¿Qué son las pruebas SAST, DAST y SCA?
Son tres tipos de análisis de seguridad de software. SAST analiza el código fuente sin ejecutarlo, DAST prueba la aplicación en ejecución buscando vulnerabilidades explotables, y SCA revisa las bibliotecas y dependencias de terceros. Los tres reportes son obligatorios para conectarse a la Plataforma Única de Identidad.
¿Puedo integrarme con la PUI usando mi sistema actual?
Depende. La integración requiere un servicio backend dedicado que exponga endpoints específicos, maneje autenticación JWT, consulte sus sistemas internos por CURP y responda conforme al Manual Técnico. Si tu sistema actual no tiene esa capacidad, necesitarás desarrollar un componente nuevo o contratar a un proveedor especializado como KYC PUI, que implementa la integración completa en 3-5 días hábiles.
¿Las entidades financieras deben conectarse a la PUI?
Sí. El 31 de marzo de 2026, la CNBV confirmó oficialmente que todas las entidades e instituciones del sistema financiero mexicano deben interconectarse con la Plataforma Única de Identidad. La participación se realiza mediante mecanismos controlados que identifican coincidencias de CURP en los registros de cada institución, sin compartir bases de datos ni información financiera. Cada institución administra de forma independiente sus bases de datos y la PUI no tiene acceso directo a información financiera — solo se notifican coincidencias.
¿Cuánto tiempo toma la integración con la Plataforma Única de Identidad?
El tiempo depende de la complejidad de los sistemas internos de cada institución, la madurez de su infraestructura de seguridad y la disponibilidad de personal técnico. Una integración bien planificada incluye: análisis de alcance, diseño del backend, desarrollo, endurecimiento de seguridad, pruebas SAST/DAST/SCA y validación. Iniciar antes reduce el riesgo de incumplimiento.
¿Tu institución necesita integrarse con la Plataforma Única de Identidad?
KYC PUI es nuestra solución dedicada para la integración con la PUI: análisis de alcance regulatorio, diseño del backend, endpoints conforme al Manual Técnico, autenticación JWT, endurecimiento de seguridad, pruebas SAST/DAST/SCA y acompañamiento hasta la validación en producción.