Plataforma Única de Identidad (PUI) en México
Qué es la Plataforma Única de Identidad (PUI), qué sectores deben integrarse, requisitos técnicos del API y sanciones por incumplimiento en México.
Isaac Vazquez
La Plataforma Única de Identidad (PUI) es una infraestructura tecnológica del gobierno de México que interconecta bases de datos públicas y privadas para fortalecer la búsqueda de personas desaparecidas o no localizadas. RENAPO coordina su operación con apoyo de la Agencia de Transformación Digital y Telecomunicaciones. En esta guía explicamos qué es la Plataforma Única de Identidad, qué sectores deben integrarse, cómo funciona la búsqueda en 3 fases, los requisitos técnicos, cómo cargar tu base de datos y las sanciones.
Actualización 31/03/2026: La CNBV confirmó oficialmente que todas las entidades e instituciones del sistema financiero mexicano deben interconectarse con la Plataforma Única de Identidad. La participación se realiza mediante mecanismos controlados que identifican coincidencias de CURP sin compartir información financiera ni vulnerar obligaciones de secrecía. Fuente: gob.mx/cnbv
¿Qué es la Plataforma Única de Identidad (PUI)?
La Plataforma Única de Identidad es una infraestructura de interconexión institucional que permite realizar búsquedas continuas de personas reportadas como desaparecidas o no localizadas, dar seguimiento al uso de su CURP en registros públicos y privados, y emitir alertas en tiempo real a las autoridades competentes cuando se detecte actividad relevante.
La Plataforma Única de Identidad no es un simple padrón ni una base de datos de consulta puntual. Es un sistema de interoperabilidad que conecta múltiples fuentes de información para que, cuando una CURP vinculada a una persona desaparecida genere movimientos o actualizaciones en sistemas conectados, exista un mecanismo para detectar esa actividad y alertar oportunamente.
RENAPO (Registro Nacional de Población) es la autoridad encargada de establecer los procedimientos de gestión, control de accesos y trazabilidad de la operación de la Plataforma Única de Identidad. La Agencia de Transformación Digital y Telecomunicaciones brinda el apoyo técnico, y toda mejora o actualización de la plataforma se realiza bajo esta coordinación.
En otras palabras: la PUI es una arquitectura regulatoria que exige interoperabilidad real entre instituciones públicas y privadas para un objetivo humanitario: encontrar personas desaparecidas.
¿Para qué sirve la Plataforma Única de Identidad?
La Plataforma Única de Identidad sirve para que la búsqueda de personas desaparecidas o no localizadas no dependa de consultas aisladas, lentas o manuales. Su modelo permite interconectar registros de múltiples instituciones y habilitar un seguimiento continuo basado en la CURP como identificador único.
El funcionamiento se basa en tres capacidades:
- Búsquedas continuas: La plataforma puede consultar de forma permanente las bases de datos conectadas para localizar actividad vinculada a una CURP reportada.
- Seguimiento de actividad: Cuando una CURP relacionada con una persona desaparecida genera movimientos, registros o actualizaciones en un sistema conectado, la Plataforma Única de Identidad puede detectar esa actividad.
- Alertas en tiempo real: El sistema notifica a las autoridades competentes cuando se identifica actividad relevante, permitiendo una respuesta oportuna.
Este enfoque de detección y alerta en tiempo real es lo que convierte a la Plataforma Única de Identidad en un proyecto estratégico de Estado. No es una plataforma administrativa más: es un mecanismo de coordinación interinstitucional con implicaciones técnicas, operativas y legales directas para el sector privado.
¿Cómo funciona la búsqueda de personas desaparecidas en 3 fases?
El Manual Técnico de la Solución Tecnológica para Instituciones Diversas establece un proceso de búsqueda en tres fases que cada institución conectada debe implementar. Cada fase tiene un alcance, un flujo técnico y endpoints específicos. Este proceso se fundamenta en el Artículo 22 de los Lineamientos para el Desarrollo y Operación de la PUI.
| Fase | Nombre oficial | Alcance | Endpoint PUI | Fundamento |
|---|---|---|---|---|
| 1 | Búsqueda para completar datos básicos | Datos más recientes disponibles | /activar-reporte → /notificar-coincidencia (fase=1) | Art. 22 Fr. I Lineamientos |
| 2 | Búsqueda histórica | Desde fecha de desaparición hasta hoy (máximo 12 años) | /notificar-coincidencia (fase=2) + /busqueda-finalizada | Art. 22 Fr. II Lineamientos |
| 3 | Búsqueda continua | Monitoreo permanente hacia el futuro | /notificar-coincidencia (fase=3) · Se desactiva con /desactivar-reporte | Art. 22 Fr. III Lineamientos |
Fase 1: Búsqueda para completar datos básicos
Cuando la Comisión Nacional de Búsqueda reporta una persona desaparecida, la PUI envía una solicitud al endpoint /activar-reporte de la institución. La institución ejecuta una consulta automatizada en sus bases de datos buscando datos personales complementarios: CURP, nombre, información de contacto, domicilio, fotografías cifradas y huellas dactilares cifradas con AES-256-GCM.
Si la institución encuentra datos, los envía mediante una petición POST al endpoint de la PUI /notificar-coincidencia con el campo fase_busqueda en valor "1", omitiendo los campos de evento (tipo, fecha, lugar). El objetivo es complementar la ficha básica de la persona desaparecida con la información más reciente disponible.
Fase 2: Búsqueda histórica
La institución revisa su historial para encontrar cualquier actividad administrativa pasada de la persona — movimientos, transacciones, registros o eventos. El alcance temporal va desde la fecha reportada de desaparición hasta el momento presente, con un máximo retroactivo de 12 años.
Por cada evento encontrado en ese rango, la institución genera un reporte individual a /notificar-coincidencia con fase_busqueda en valor "2", incluyendo de forma obligatoria los datos del evento: tipo, fecha, descripción del lugar y dirección. Al terminar de revisar todo su historial, la institución notifica a la PUI consumiendo el endpoint /busqueda-finalizada.
Fase 3: Búsqueda continua (monitoreo permanente)
La institución integra la CURP de la persona desaparecida a un sistema interno de monitoreo. Si en cualquier momento futuro el sistema detecta que la persona interactúa con la institución — apertura de cuenta bancaria, alta hospitalaria, registro escolar, contratación de servicio telefónico — se dispara inmediatamente un POST a /notificar-coincidencia con fase_busqueda en valor "3" y todos los detalles del evento.
La PUI valida los datos y los reenvía automáticamente a la Comisión Nacional de Búsqueda para que se emitan alertas a las autoridades competentes en tiempo real. El monitoreo continuo se detiene únicamente cuando la persona es localizada — en ese momento la PUI envía una solicitud al endpoint de la institución /desactivar-reporte para dar de baja el caso.
Las instituciones definen su propia frecuencia de escaneo (comúnmente cada hora, cada cuatro horas o diaria), y el ciclo de monitoreo dura indefinidamente hasta que las autoridades ordenen la baja.
¿Qué sectores están obligados a integrarse con la PUI?
El marco normativo de la Plataforma Única de Identidad establece la interconexión de registros, bases de datos o sistemas de información de particulares que presten servicios en sectores específicos. La obligación no se limita a instituciones públicas: alcanza directamente al sector privado.
Sectores con obligación de interconexión
| Sector | Ejemplos de instituciones obligadas |
|---|---|
| Servicios financieros | Bancos, SOFOMes, SOFIPOs, SOCAPs, casas de bolsa, aseguradoras, centros cambiarios, fintech y toda entidad regulada por la CNBV (confirmado 31/03/2026) |
| Transporte | Aerolíneas, autobuses foráneos, plataformas de movilidad |
| Salud física y mental | Hospitales, clínicas, laboratorios, consultorios privados |
| Telecomunicaciones | Operadores de telefonía, proveedores de internet |
| Educación | Universidades, escuelas privadas, plataformas educativas |
| Asistencia privada | Instituciones de asistencia, albergues, fundaciones |
| Paquetería y entrega | Empresas de mensajería, logística y entregas |
| Registros patronales | Empresas con registros de seguridad social y nómina |
| Servicios religiosos | Instituciones religiosas con registros de feligreses |
| Atención a adicciones | Centros de rehabilitación y clínicas residenciales |
| Hospedaje | Hoteles, moteles y establecimientos de alojamiento que registran huéspedes con CURP o identificación oficial |
Instituciones con obligaciones adicionales
Además de los sectores anteriores, el marco normativo de la Plataforma Única de Identidad establece obligaciones específicas para:
- Establecimientos regulados por la Ley General de Salud y centros residenciales de atención a adicciones que recaben, utilicen o conserven datos biométricos.
- Centros de reinserción social, centros de asistencia social y estaciones migratorias con manejo de datos biométricos.
- Instituciones públicas o privadas que tengan bajo resguardo cuerpos o restos humanos.
- Instituciones que generen o tengan acceso a imágenes producidas por satélites, aeronaves no tripuladas o tecnologías similares.
El alcance es amplio: si una organización administra información de personas y esa información puede ser relevante para la búsqueda, localización o identificación de personas desaparecidas, la obligación de integrarse con la Plataforma Única de Identidad le aplica.
¿Qué requisitos técnicos exige la integración con la PUI?
Cumplir con la Plataforma Única de Identidad no se limita a enviar datos. La documentación técnica exige que cada institución obligada desarrolle un servicio backend propio que funcione como punto de integración con la plataforma. Este servicio debe estar disponible de forma continua y ser accesible de manera segura desde internet.
Componentes del servicio backend
| Componente | Descripción |
|---|---|
| Endpoints de integración | El backend debe exponer endpoints específicos conforme al Manual Técnico de la PUI para recibir y responder solicitudes |
| Autenticación JWT | La comunicación entre la institución y la Plataforma Única de Identidad se autentica mediante JSON Web Tokens (JWT) |
| Consulta interna por CURP | El servicio debe poder consultar los sistemas internos de la institución utilizando la CURP como identificador |
| Construcción de respuestas | Las respuestas deben construirse conforme a la estructura definida en el Manual Técnico |
| Disponibilidad continua | El servicio debe estar operativo de forma permanente, no solo en horario laboral |
| Acceso seguro por internet | El endpoint debe ser accesible desde internet con cifrado TLS obligatorio |
El flujo técnico funciona así: la Plataforma Única de Identidad envía una solicitud de búsqueda al endpoint de la institución; el servicio backend valida la solicitud, consulta sus sistemas internos por CURP, construye la respuesta conforme al Manual Técnico y la devuelve a la plataforma. Todo bajo autenticación JWT y comunicación cifrada.
Esto significa que cada institución obligada necesita capacidad de desarrollo de software, infraestructura de servidores y personal técnico que entienda tanto el protocolo de la PUI como los sistemas internos de la organización.
Si tu institución no cuenta con equipo de desarrollo interno, KYC PUI ya tiene la integración completa implementada. El proceso de inscripción toma menos de 5 minutos. Una vez inscrito, decides cómo alimentar tu base de datos: alta manual, carga masiva por CSV o sincronización automatizada por API.
¿Qué medidas de ciberseguridad requiere la PUI?
La integración con la Plataforma Única de Identidad no solo exige conectividad: exige conectividad segura, validada y auditada. El Manual Técnico establece medidas de seguridad que van más allá de lo que muchas instituciones tienen implementado actualmente.
Requisitos de seguridad obligatorios
| Categoría | Requisito |
|---|---|
| Cifrado | Comunicación obligatoria bajo TLS; información cifrada tanto en tránsito como en almacenamiento |
| Autenticación | Autenticación robusta mediante JWT con controles por endpoint |
| Endurecimiento de servidor | Deshabilitación de protocolos inseguros, protección contra exposición de versiones o headers sensibles |
| Validación de entradas | Protección contra XSS, SQL Injection mediante consultas preparadas y validación estricta de datos |
| Trazabilidad | Log de accesos auditable con monitoreo continuo de la infraestructura |
| Control de accesos | Gestión de permisos por endpoint con registros de quién accede a qué información |
Reportes de seguridad obligatorios: SAST, DAST y SCA
Para conectarse a la Plataforma Única de Identidad, la institución debe entregar tres tipos de reportes de seguridad realizados sobre la URL base y los endpoints desarrollados:
- SAST (Static Application Security Testing): Análisis estático del código fuente para detectar vulnerabilidades antes de la ejecución.
- DAST (Dynamic Application Security Testing): Pruebas dinámicas sobre la aplicación en ejecución para identificar vulnerabilidades explotables.
- SCA (Software Composition Analysis): Análisis de las dependencias y bibliotecas de terceros para verificar que no contengan vulnerabilidades conocidas.
Estos reportes deben demostrar que la ruta base y los endpoints evaluados están libres de vulnerabilidades críticas, altas, medias y bajas. Deben incluir alcance, metodología, herramientas utilizadas, fecha de ejecución, ambiente productivo y URLs validadas.
En la práctica, esto convierte la integración con la Plataforma Única de Identidad en un proyecto de ciberseguridad, no solo de desarrollo.
¿Cómo cargar tu base de datos para cumplir con la PUI?
La pregunta más frecuente de las instituciones obligadas es: ¿cómo subo mi información de personas a la plataforma? La integración con la PUI requiere que tu base de datos esté disponible para consulta por CURP, pero muchas instituciones no tienen sus registros centralizados o en formato compatible.
KYC PUI ofrece tres opciones para alimentar y mantener actualizada tu base de datos conforme a los requisitos de la Plataforma Única de Identidad:
Opción 1: Alta manual (formulario)
Captura de registros uno a uno mediante un formulario en la plataforma KYC PUI. Ideal para instituciones pequeñas, registros puntuales o correcciones individuales. El formulario valida automáticamente el formato de CURP y los campos requeridos.
Opción 2: Carga masiva por archivo (Excel o CSV)
Importación de registros mediante plantillas Excel (.xlsx) o CSV con estructura predefinida. Para instituciones que ya tienen su base de datos estructurada y necesitan una carga inicial o actualizaciones periódicas. La plataforma valida cada registro antes de incorporarlo.
Opción 3: API de integración (sincronización automatizada)
Endpoint REST para que los sistemas internos de la institución (ERP, CRM, core bancario, sistema hospitalario) sincronicen registros de forma automatizada y continua con KYC PUI. Esta opción es la recomendada para instituciones con volumen alto de registros o que necesitan mantener la información actualizada en tiempo real.
| Parámetro del API | Especificación |
|---|---|
| Registros por petición | Máximo 1,000 |
| Rate limit | 60 peticiones por minuto |
| Cifrado de almacenamiento | AES-256-GCM |
| Hash de CURP | SHA3-256 (la CURP nunca se almacena en texto plano) |
| Protocolo | TLS obligatorio en producción |
Las tres opciones pueden combinarse: una carga masiva inicial por CSV, actualizaciones automatizadas por API y correcciones puntuales por formulario. La plataforma mantiene trazabilidad completa de cada registro para efectos de auditoría.
¿Cuáles son las sanciones por no cumplir con la PUI?
El marco legal reformado prevé sanciones para los particulares obligados que no permitan acceso a la información, no la proporcionen cuando sea requerida o no la mantengan actualizada. Las multas pueden alcanzar montos significativos.
| Supuesto | Sanción en UMA | Equivalente en pesos (UMA 2026: $117.31) |
|---|---|---|
| No permitir acceso o no proporcionar información requerida | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
| No mantener actualizada la información | 10,000 a 20,000 UMA | $1,173,100 a $2,346,200 MXN |
Más allá de las multas, el incumplimiento implica un riesgo reputacional considerable. La Plataforma Única de Identidad está vinculada a la búsqueda de personas desaparecidas, un tema de alta sensibilidad social y mediática en México. Una institución que obstaculice o no coopere con este esfuerzo enfrenta no solo consecuencias legales sino también daño a su imagen pública.
¿Qué significa la PUI para el sector privado?
La Plataforma Única de Identidad convierte una obligación jurídica en un proyecto transversal que impacta simultáneamente a cuatro áreas de la organización: dirección general, jurídico y compliance, TI y desarrollo, y ciberseguridad.
Impacto por área
| Área | Impacto de la Plataforma Única de Identidad |
|---|---|
| Dirección general | Exposición regulatoria, presupuesto para desarrollo e infraestructura, riesgo reputacional |
| Jurídico y compliance | Interpretación del marco normativo, alcance de la obligación, gestión de riesgos legales |
| TI y desarrollo | Diseño y construcción del API backend, integración con sistemas internos, disponibilidad continua |
| Ciberseguridad | Endurecimiento de infraestructura, pruebas SAST/DAST/SCA, cifrado, trazabilidad y monitoreo |
Las instituciones que empiecen a prepararse antes tendrán ventaja. No solo para cumplir dentro del plazo, sino para hacerlo con orden, menor fricción operativa y menos riesgo de rechazos técnicos durante el proceso de validación.
Preguntas frecuentes sobre la Plataforma Única de Identidad
¿Qué es RENAPO y qué papel tiene en la PUI?
RENAPO (Registro Nacional de Población) es la autoridad encargada de coordinar la operación de la Plataforma Única de Identidad. Establece los procedimientos de gestión, control de accesos y trazabilidad de la plataforma, con apoyo técnico de la Agencia de Transformación Digital y Telecomunicaciones.
¿La Plataforma Única de Identidad solo aplica a instituciones públicas?
No. La Plataforma Única de Identidad aplica tanto a instituciones públicas como privadas. Cualquier organización que administre registros o bases de datos de personas y cuya información pueda ser relevante para la búsqueda, localización e identificación de personas desaparecidas puede estar obligada a integrarse.
¿Qué es el Manual Técnico de la PUI?
Es el documento que define la especificación técnica para la integración: estructura de endpoints, formato de solicitudes y respuestas, protocolo de autenticación JWT, requisitos de seguridad y proceso de validación. Las instituciones deben construir su backend conforme a este manual. El Manual Técnico de la Solución Tecnológica para Instituciones Diversas se publicó en el DOF el 23 de enero de 2026.
¿Qué son las pruebas SAST, DAST y SCA?
Son tres tipos de análisis de seguridad de software. SAST analiza el código fuente sin ejecutarlo, DAST prueba la aplicación en ejecución buscando vulnerabilidades explotables, y SCA revisa las bibliotecas y dependencias de terceros. Los tres reportes son obligatorios para conectarse a la Plataforma Única de Identidad.
¿Puedo cumplir con la PUI sin equipo de desarrollo propio?
Sí. Si tu institución no cuenta con equipo de desarrollo interno, puedes usar KYC PUI, que ya tiene la integración completa implementada. El proceso de inscripción toma menos de 5 minutos. Una vez inscrito, decides cómo alimentar tu base de datos: alta manual por formulario, carga masiva por CSV/Excel o sincronización automatizada por API.
¿Las entidades financieras deben conectarse a la PUI?
Sí. El 31 de marzo de 2026, la CNBV confirmó oficialmente que todas las entidades e instituciones del sistema financiero mexicano deben interconectarse con la Plataforma Única de Identidad. La participación se realiza mediante mecanismos controlados que identifican coincidencias de CURP en los registros de cada institución, sin compartir bases de datos ni información financiera. Cada institución administra de forma independiente sus bases de datos y la PUI no tiene acceso directo a información financiera — solo se notifican coincidencias.
¿La PUI tiene acceso a mi información financiera?
No. La Plataforma Única de Identidad no accede ni almacena información financiera, médica ni de ningún otro tipo sensible de los clientes. El mecanismo funciona exclusivamente por coincidencias de CURP: la PUI envía una CURP a buscar, la institución responde si tiene o no registros de esa persona, y la información se limita a datos básicos de identificación y eventos. Cada institución administra sus bases de datos de forma independiente.
¿Cómo se relaciona la Llave MX con la PUI?
La Llave MX es la identidad digital del ciudadano mexicano vinculada a la CURP. La PUI utiliza la CURP como identificador único para la búsqueda de personas desaparecidas. Para las instituciones obligadas, el representante legal necesita Llave MX para inscribirse en el proceso de interconexión. A futuro, la integración entre Llave MX y PUI fortalecerá los procesos de verificación de identidad (KYC digital) para todo el sector privado.
¿Cuánto tiempo toma la integración con la Plataforma Única de Identidad?
El tiempo depende de la complejidad de los sistemas internos de cada institución, la madurez de su infraestructura de seguridad y la disponibilidad de personal técnico. Una integración bien planificada incluye: análisis de alcance, diseño del backend, desarrollo, endurecimiento de seguridad, pruebas SAST/DAST/SCA y validación. Iniciar antes reduce el riesgo de incumplimiento.
¿Tu institución necesita integrarse con la Plataforma Única de Identidad?
KYC PUI es nuestra solución dedicada para la integración con la PUI: inscripción en menos de 5 minutos, carga de datos por formulario, CSV o API, endpoints conforme al Manual Técnico, autenticación JWT, cifrado AES-256-GCM, y acompañamiento hasta la validación en producción.
