El EBR (Enfoque Basado en Riesgos) es el principio rector de la prevención de lavado de dinero en México y en el mundo. Establecido como la Recomendación 1 del GAFI, obliga a los sujetos obligados a identificar, evaluar y mitigar los riesgos de LD/FT de manera proporcional a su nivel de exposición. En México, el sector financiero lo aplica desde 2017 a través de las DCG de la CNBV, y la reforma de julio de 2025 a la LFPIORPI lo formalizó para actividades vulnerables.
¿Qué es el EBR o enfoque basado en riesgos?
El enfoque basado en riesgos (EBR) es un principio que exige a los sujetos obligados concentrar sus recursos de prevención de lavado de dinero donde el riesgo es mayor. En lugar de aplicar las mismas medidas a todos los clientes y operaciones, el EBR requiere que cada entidad identifique sus riesgos propios, los mida y establezca controles proporcionales a la exposición detectada.
Un punto fundamental que firmas como Grant Thornton enfatizan: el EBR mide el riesgo a nivel entidad, no a nivel cliente individual. Es decir, evalúa el grado de exposición global de la organización frente al lavado de dinero, considerando sus productos, clientes, geografía, transacciones y canales. La clasificación de clientes (bajo, medio, alto riesgo) es parte del proceso KYC, no del EBR en sí mismo.
¿Cuál es el origen del EBR en la prevención de lavado de dinero?
El EBR tiene su origen en la Recomendación 1 del Grupo de Acción Financiera Internacional (GAFI), titulada «Assessing risks and applying a risk-based approach». Esta recomendación establece que los países deben identificar, evaluar y comprender sus riesgos de lavado de dinero y financiamiento al terrorismo, y aplicar medidas proporcionales para mitigarlos.
El texto del GAFI es preciso:
«Countries should identify, assess, and understand the money laundering and terrorist financing risks for the country, and should take action [...] to ensure the risks are mitigated effectively. Based on that assessment, countries should apply a risk-based approach (RBA) to ensure that measures to prevent or mitigate money laundering and terrorist financing are proportionate to the risks identified.»
— GAFI, Recomendación 1 (revisión 2012, vigente 2025)
La Recomendación 1 también exige que los países requieran a sus instituciones financieras y Actividades y Profesiones No Financieras Designadas (APNFDs) — equivalente mexicano de las actividades vulnerables — identificar, evaluar y tomar acciones basadas en riesgo para mitigar sus propias amenazas de LD/FT.
En diciembre de 2022, el GAFILAT (Grupo de Acción Financiera de Latinoamérica) publicó una guía específica para APNFDs que recomienda: identificar eventos negativos por frecuencia y severidad, asignar recursos proporcionales al nivel de exposición y construir matrices de riesgo específicas por tipo de actividad.
¿Cómo aplica el EBR en el sector financiero mexicano?
El sector financiero mexicano implementó el EBR formalmente desde el 9 de marzo de 2017, cuando la CNBV adicionó el Capítulo II Bis (Disposiciones 17a-1 a 17a-6) a las DCG PLD/CFT para SOFOMes ENR. Este capítulo establece una metodología obligatoria de evaluación de riesgos que las entidades deben diseñar, implementar y actualizar.
| Disposición DCG |
Obligación EBR |
| 17a-1 |
Diseñar e implementar metodología de evaluación de riesgos LD/FT |
| 17a-2 |
Identificar riesgos por: productos/servicios, clientes/usuarios, áreas geográficas, transacciones y canales de distribución |
| 17a-3 |
Establecer mitigantes proporcionales al riesgo detectado |
| 17a-4 |
Revisar y actualizar cada 12 meses o cuando se actualice la ENR. Conservar información del EBR por mínimo 5 años |
| 17a-5/6 |
Someter resultados al Comité de Comunicación y Control. El Oficial de Cumplimiento presenta la metodología y resultados |
Esto significa que las SOFOMes ENR, centros cambiarios y transmisores de dinero llevan casi una década aplicando el EBR. Los resultados del EBR alimentan directamente las políticas de conocimiento del cliente, el perfil transaccional, los sistemas automatizados y la clasificación de clientes por grado de riesgo.
¿Qué dice la LFPIORPI sobre el enfoque basado en riesgos?
La reforma del 16 de julio de 2025 adicionó la fracción VII al artículo 18 de la LFPIORPI, formalizando el EBR como obligación para quienes realizan actividades vulnerables. Antes de esta reforma, las actividades vulnerables no tenían una obligación explícita de aplicar un enfoque basado en riesgos.
«VII. Evaluación con enfoque basado en Riesgos»
— Art. 18, Fr. VII, LFPIORPI (adicionada DOF 16-07-2025)
Los términos y condiciones específicos de cómo deben implementar el EBR las actividades vulnerables se definirán en las Reglas de Carácter General (RCG) que la SHCP debe publicar antes de julio de 2026 (Transitorio Segundo de la reforma). Hasta que se publiquen las RCG, la obligación existe en la ley pero los detalles de implementación están pendientes (Transitorio Tercero).
Adicionalmente, la reforma al Reglamento de la LFPIORPI (DOF 27/03/2026) vincula el resultado del EBR con la identificación simplificada: los clientes que resulten de bajo riesgo según la metodología del sujeto obligado podrán identificarse con medidas simplificadas (Art. 15 del Reglamento reformado).
¿Cómo se aplica el EBR en actividades vulnerables?
Aunque las RCG aún no se publican, la metodología del EBR para actividades vulnerables seguirá la misma estructura que el sector financiero ya utiliza, adaptada al contexto de cada actividad del Art. 17 de la LFPIORPI. El documento oficial de la SHCP y la CNBV sobre EBR en contexto nacional (febrero 2018) establece tres fases:
Fase I: Diseño
El diseño de la metodología comprende tres procesos:
- Identificación del riesgo: Analizar los riesgos inherentes a la actividad, considerando la Evaluación Nacional de Riesgos (ENR) y los factores específicos de la entidad: clientes o usuarios, países y áreas geográficas, productos y servicios, y canales de distribución vinculados con las operaciones.
- Medición del riesgo: Relacionar los indicadores identificados y asignar un peso a cada uno en función de su importancia. Se utiliza un enfoque semi-cuantitativo que combina datos operativos reales (montos, frecuencia, volumen de operaciones de 12 meses) con juicio experto.
- Mitigantes: Definir políticas y procedimientos implementados para administrar y disminuir la exposición a los riesgos identificados.
Fase II: Implementación
Poner en práctica la metodología diseñada: integrarla al sistema automatizado, capacitar al personal, documentar procesos y configurar las alertas conforme a la matriz de riesgos.
Fase III: Valoración
Revisar la metodología cada 12 meses, cuando se publique una nueva ENR, o cuando ocurran cambios significativos en la operación. El resultado de la valoración alimenta un nuevo ciclo de diseño.
Punto clave de Grant Thornton: Cada actividad vulnerable tiene riesgos distintos. Un notario corporativo enfrenta riesgos diferentes a uno inmobiliario. Una joyería departamental opera distinto a una venta directa de metal. Las metodologías genéricas «por sector» son el error más común — el EBR exige una autoevaluación específica de cada entidad.
¿Cuál es la fórmula del EBR?
La fórmula central del enfoque basado en riesgos se expresa como:
Riesgo Inherente − Mitigantes = Riesgo Residual
| Concepto |
Definición |
Ejemplo |
| Riesgo Inherente |
Nivel de riesgo bruto antes de aplicar cualquier control. Se determina por la naturaleza de la actividad, el perfil de clientes, la zona geográfica y el tipo de operaciones. |
Una inmobiliaria en zona fronteriza que opera con efectivo tiene riesgo inherente alto |
| Mitigantes |
Controles implementados para reducir la exposición: expedientes, monitoreo, capacitación, sistemas automatizados, verificación de listas. Se ponderan por eficacia. |
KYC completo, monitoreo transaccional, cotejo contra listas GAFI y PEPs |
| Riesgo Residual |
Nivel de riesgo que permanece después de aplicar los controles. Nunca es cero — siempre existe un riesgo remanente que debe monitorearse continuamente. |
La inmobiliaria con controles robustos puede pasar de riesgo alto a medio, pero no a cero |
El objetivo del EBR no es llegar a bajo riesgo. La ENR 2023 ya clasifica a las actividades vulnerables como sectores de riesgo por el hecho de ser sujetos obligados. Manipular la metodología para obtener una calificación artificialmente baja no solo es incorrecto, sino que la reforma vincula el resultado del EBR con el tipo de auditoría que debes hacer: si tu resultado es bajo o medio, basta con auditoría interna (Art. 18 Fr. XI); si es alto, necesitas auditoría externa independiente.
¿Qué elementos de riesgo evalúa el EBR?
Tanto el GAFI como la CNBV y el documento SHCP/CNBV de 2018 coinciden en cinco elementos de riesgo que toda metodología EBR debe considerar. Cada uno tiene indicadores específicos que se ponderan con datos operativos reales.
| Elemento de riesgo |
Indicadores clave |
| Productos y servicios |
Características que faciliten LD/FT, anonimato, falta de identificación del cliente, productos de alto valor, servicios que facilitan transferencia de valor |
| Clientes y usuarios |
Persona física/moral/fideicomiso, edad o fecha de constitución, nacional o extranjero, actividad económica, presencia en listas PEPs o personas bloqueadas |
| Países y áreas geográficas |
Regímenes fiscales preferentes, países con medidas deficientes en LD/FT (listas GAFI), áreas nacionales de riesgo alto |
| Transacciones |
Frecuencia y monto de operaciones, instrumento monetario o medio de pago, efectivo, moneda extranjera, transferencias internacionales, tarjetas prepagadas |
| Canales de distribución |
Presencial o no presencial, uso de intermediarios, plataformas digitales, cajeros automáticos, medios electrónicos |
Cada elemento se evalúa con datos reales de al menos 12 meses de operación. El enfoque debe ser semi-cuantitativo: combinar análisis estadístico de registros operativos (cuántas operaciones, con qué montos, qué frecuencia) con valoración cualitativa del modelo de negocio y el contexto del mercado.
¿Cuál es la diferencia entre EBR y evaluación de riesgos PLD?
Es común confundir estos dos conceptos. Aunque están íntimamente relacionados, son cosas distintas dentro del marco legal mexicano. El EBR es el principio general; la evaluación de riesgos es la herramienta metodológica para ejecutarlo.
| Concepto |
EBR (Art. 18, Fr. VII) |
Evaluación de Riesgos PLD (Art. 18, Fr. IX) |
| Naturaleza |
Principio rector — el «qué» |
Metodología específica — el «cómo» |
| Alcance |
Criterio transversal que permea todas las obligaciones del Art. 18 |
Proceso formal con fases de diseño, implementación y valoración |
| Origen |
GAFI Recomendación 1 (2012) |
Guías UIF + GAFI + GAFILAT (dic 2022) |
| Producto |
Políticas y criterios de riesgo aplicados a toda la operación |
Matriz numérica, documento de diseño, catálogo de mitigantes |
| En sector financiero |
Vigente desde 2017 (DCG Cap. II Bis) |
Parte integral del Cap. II Bis |
| En actividades vulnerables |
Obligatorio desde reforma julio 2025 (pendiente RCG) |
Obligatorio desde reforma julio 2025 (pendiente RCG) |
Para profundizar en la metodología específica de la evaluación de riesgos PLD — las tres fases, la matriz numérica y los requisitos de documentación — consulta nuestra guía de evaluación de riesgos PLD.
¿Qué es la ENR y por qué es clave para el EBR?
La Evaluación Nacional de Riesgos (ENR) es el documento oficial que publica la SHCP para identificar las amenazas, vulnerabilidades y factores de riesgo de lavado de dinero y financiamiento al terrorismo a nivel país. La más reciente es la ENR 2023, publicada en noviembre de 2023.
La ENR 2023 identificó 37 factores de riesgo agrupados en: vulnerabilidades del régimen PLD/CFT, amenazas y vulnerabilidades de LD, amenazas y vulnerabilidades de FT, amenazas de FPADM y factores emergentes. Cada factor se evaluó en dos dimensiones: Grado de Impacto y Probabilidad de Ocurrencia, con valores de 0 a 9 clasificados en tres niveles (bajo 0-3, medio 3-6, alto 6-9).
Un dato relevante de la ENR 2023: en 2018 se encontraban registrados 70,083 sujetos obligados de actividades vulnerables; para 2022, la cifra creció a 107,642 sujetos obligados activos. El sector de TCV (transmisores de dinero y centros de verificación) envió 2,879,217 avisos en el periodo analizado.
El EBR de cada sujeto obligado debe tomar como insumo la ENR y actualizarse cada vez que se publique una nueva. Si un riesgo no se materializa en un periodo, debe dejarse latente y monitoreando para el siguiente ejercicio.
¿Qué pasa si no aplicas el EBR?
No implementar el enfoque basado en riesgos puede derivar en sanciones bajo ambos regímenes PLD de México:
| Régimen |
Fundamento |
Sanción |
| Actividades Vulnerables (LFPIORPI) |
Art. 53 Fr. V — incumplir cualquier obligación del Art. 18, incluyendo Fr. VII (EBR) |
200 a 65,000 UMA ($23,462 a $7,625,150 MXN con UMA 2026 de $117.31) |
| SOFOMes ENR (LGOAAC) |
Art. 95 Bis + DCG Cap. II Bis — no tener metodología EBR |
10,000 a 100,000 días de salario ($2,788,000 a $27,880,000 MXN) |
Más allá de las multas, la falta de EBR tiene consecuencias operativas: sin una metodología documentada, el sujeto obligado no puede justificar ante el SAT o la CNBV por qué aplica medidas simplificadas a ciertos clientes, ni demostrar que sus controles son proporcionales a sus riesgos reales. Esto debilita toda la defensa ante una visita de verificación o auditoría de la CNBV.
Preguntas frecuentes sobre el EBR
¿Debo esperar las RCG para implementar el EBR?
No es recomendable. Aunque las RCG para actividades vulnerables aún no se publican (deadline julio 2026), la obligación legal ya existe en la LFPIORPI. Expertos de firmas como Grant Thornton recomiendan iniciar ahora usando como referencia las DCG del sector financiero (Cap. II Bis), la Guía GAFILAT para APNFDs (diciembre 2022) y la ENR 2023. Las empresas que inicien hoy tendrán una ventaja significativa cuando las RCG se publiquen.
¿El EBR requiere un sistema automatizado costoso?
No necesariamente. La LFPIORPI habla de «mecanismos automatizados» (Art. 18 Fr. X) pero no especifica la plataforma. Para entidades pequeñas, herramientas semi-automatizadas con trazabilidad pueden funcionar. Lo importante es que el proceso sea auditable y replicable, no la herramienta en sí. Plataformas como KYC SYSTEMS integran matrices de riesgo EBR diseñadas para la LFPIORPI y el Art. 95 Bis de la LGOAAC.
¿Puedo copiar el EBR de otra empresa de mi mismo giro?
No. Cada sujeto obligado tiene riesgos únicos según su tipo de actividad, perfil de clientes, zona geográfica y volumen de operaciones. Un ejemplo que cita Grant Thornton: Tlaxcala puede parecer un estado de bajo riesgo, pero es identificado internacionalmente como capital de trata de personas — un delito precedente de lavado de dinero. El análisis geográfico por sí solo cambia radicalmente el perfil de una entidad.
¿Cada cuánto debo actualizar el EBR?
Cada 12 meses como mínimo, o cuando se publique una nueva ENR, o cuando ocurran cambios significativos en la operación de la entidad. El periodo de 12 meses es flexible — no necesariamente coincide con el año calendario.
Implementa el EBR con KYC SYSTEMS
Nuestra plataforma incluye matrices de riesgo EBR automatizadas, clasificación de clientes por nivel de riesgo, cotejo contra listas de personas bloqueadas y documentación lista para auditoría — todo diseñado para cumplir con la LFPIORPI y el Art. 95 Bis de la LGOAAC.
Solicitar información por WhatsApp
Isaac Vazquez 
