La Plataforma Única de Identidad (PUI) en México no solo implica un cambio en la gestión de datos para la búsqueda de personas desaparecidas, sino que también conlleva una serie de retos técnicos en ámbitos como interoperabilidad, seguridad e infraestructura que se deberán resolver en los sectores público y privado para evitar que su implementación conlleve más riesgos.
Actualmente, el país enfrenta una crisis humanitaria. Según cifras de la Comisión Nacional de Búsqueda (CNB), al 26 de marzo de 2025, hay 136.516 casos de personas desaparecidas. Ante esta emergencia, el Congreso aprobó en julio de 2025 reformas a la Ley General en Materia de Desaparición Forzada de Personas y a la Ley General de Población con el objetivo de fortalecer la búsqueda e identificación de personas desaparecida.
¿Qué es la Plataforma Única de Identidad?
Como parte de las medidas, la presidenta Claudia Sheinbaum anunció la creación de la Plataforma Única de Identidad, un sistema que integra en tiempo real bases de datos gubernamentales y privadas —forenses, judiciales, administrativas— para agilizar la localización de víctimas.
El marco que guía las acciones de las autoridades se actualizó el 25 de marzo de 2026, cuando la Secretaría de Gobernación publicó en el Diario Oficial de la Federación el nuevo Protocolo Homologado para la Búsqueda de Personas Desaparecidas y No Localizadas, el cual entró en vigor al día siguiente. El acuerdo establece como obligación del Estado actuar con inmediatez desde el primer momento en que se recibe una denuncia, sin condicionar las acciones a plazos de espera, y reconoce el derecho de las familias a participar en todas las etapas de los procesos de búsqueda.
La PUI es la herramienta tecnológica que dará soporte a este protocolo. De acuerdo con el documento oficial, la plataforma opera como un sistema de consulta y validación de la CURP biométrica, integrando información dispersa en fiscalías, servicios forenses, hospitales y empresas privadas para que las búsquedas sean más rápidas, coordinadas y efectivas.
La ley no solo involucra a instituciones públicas, también obliga a empresas de telecomunicaciones, servicios financieros, transporte y salud a conectar sus sistemas y compartir información. Cada entidad federativa maneja sus propios registros que no siempre comparten información entre sí. Esto provoca que los datos estén fragmentados y las respuestas sean lentas por lo que la PUI busca romper ese aislamiento.
¿Cómo funciona la Plataforma Única de Identidad?
Según las autoridades la PUI conectará en tiempo real todas esas bases de datos de manera que, cuando una familia reporta una desaparición, la información se cruce automáticamente con los registros de las instituciones públicas y privadas. La idea es que, si la persona desaparecida es localizada con vida en un hospital, o si sus restos ingresan a un servicio forense, el sistema permita a las autoridades identificar el caso de forma más rápida y dar respuesta a las familias.
La plataforma utiliza la Clave Única de Registro de Población (CURP) como identificador base, al que se asociarán datos biométricos como fotografía y huellas dactilares para fortalecer la validación de identidad.
Su alcance es obligatorio no solo para instituciones públicas, sino también para empresas privadas, que deberán conectar sus sistemas a la plataforma mediante APIs para permitir el intercambio automatizado de información con las autoridades, tanto para responder solicitudes de datos como para consultar registros en tiempo real.
Iván Díaz, CISO de Abogainge
Sin embargo, su operación depende de una arquitectura tecnológica compleja que plantea desafíos relevantes. De acuerdo con Iván Díaz, CISO corporativo de ABOGAINGE, despacho mexicano especializado en derecho de las tecnologías de la información, en entrevista con Mobile Time Latinoamérica, analizó los lineamientos técnicos.
Plazos y fases de implementación
De acuerdo con los lineamientos de la PUI, el 31 de marzo de 2026 es la fecha límite para que las empresas presenten su solicitud de registro ante la plataforma. Sin embargo, Díaz aclara que este plazo no implica la integración completa de los sistemas, sino solo el primer paso.
“Es la fecha de vencimiento para la solicitud de registro. Es ese primer pasito de ir a llevar a cabo la solicitud de que me entreguen un usuario y contraseña para empezar a interconectar la plataforma de activación de reportes de prueba”, detalló.
Añadió que en esta fase inicial, las empresas deben desarrollar al menos la API de “activar reporte de prueba” para poder avanzar en el proceso de registro. La integración total, que incluye la conexión plena de todas las interfaces requeridas, quedará para etapas posteriores.
Una vez que las empresas completen su registro y habiliten sus sistemas, las autoridades estatales —fiscalías, comisiones de búsqueda, servicios forenses— podrán comenzar a utilizar la plataforma para consultar y cruzar información en tiempo real. Los plazos concretos para la operación plena aún no están definidos pero la expectativa es que el sistema esté funcionando de manera escalada a lo largo de 2026.
¿Qué APIs deben desarrollar las empresas para la PUI?
La PUI está diseñada como un sistema de concentración de información mediante APIs, que permitirán la comunicación entre instituciones públicas y empresas privadas. Desde la perspectiva del experto, las organizaciones deberán desarrollar una arquitectura que soporte, por lo menos, cuatro interfaces críticas de comunicación.
Este ecosistema comienza con un protocolo de login para la autenticación, seguido de la capacidad de activar reportes de forma inmediata ante una desaparición. Posteriormente, los sistemas deben estar preparados para la desactivación de dichos registros una vez localizado el objetivo y, finalmente, mantener interfaces de prueba que aseguren que la comunicación entre el sector privado y el gubernamental no sufra interrupciones en momentos de crisis.
“Pensemos en una institución financiera que tiene 10 millones de clientes hoy. En el transcurso de los últimos 12 años, con un churn de 2.5 o 3%, estamos hablando de como 60 millones de datos personales. […] Necesitas tener grandes sistemas de procesamiento de información. Vas a requerir una arquitectura lo suficientemente solvente y una capacidad técnica instalada específicamente para atender esta necesidad gubernamental”, explicó.
En ese sentido, advirtió que las empresas que no tienen capacidades tecnológicas desarrolladas internamente van a subcontratar a un tercero, con el riesgo de “que les vendan gato por león”. Las que sí puedan desarrollar internamente van a requerir proyectos especializados para dar cumplimiento: desarrolladores de APIs, una arquitectura tecnológica sumamente eficiente para manejar los volúmenes de información.
Llave MX
Dentro de la arquitectura, Llave MX funciona como el mecanismo de autenticación y firma para que empresas y usuarios se registren en la plataforma. Su rol es validar la identidad del representante legal y permitir el acceso inicial al sistema. Sin embargo, Díaz identificó algunas debilidades en su diseño actual.
Por un lado, el sistema tiene como antecedente la Llave CDMX, que fue hackeada el año pasado. En su opinión, genera cuestionamientos sobre la robustez de la herramienta actual. Por otro lado, el proceso de registro podría permitir la creación de identidades con información básica como CURP, correo electrónico y número telefónico.
“Cualquiera de nosotros puede ir al sistema de la CURP y, conociendo el nombre completo de una persona y su fecha de nacimiento, sacar los registros de varias personas. Con un número telefónico, antes podías ir a un Oxxo, comprar un número de SIM sin registro, obtener un número telefónico y crear un correo electrónico en cualquier plataforma web”, explicó.
El problema, según el especialista, yace en que una vez que alguien genera una identidad digital a nombre de un tercero con estos datos, no hay un procedimiento para recuperar esa identidad.
“No hay un mecanismo de identificación plena de la persona en la plataforma de Llave MX”, puntualizó, y añade que este riesgo de suplantación resulta especialmente crítico considerando que la Llave MX será el punto de entrada para interactuar con la PUI, lo que podría comprometer la confianza en todo el sistema de identidad digital.
Datos personales y biométricos
Otro reto técnico se encuentra en la gestión de datos personales. Las empresas conectadas podrían verse obligadas a procesar información adicional a la que ya suelen recabar.
“Pensemos que tú eres una empresa que solamente requiere el nombre de la persona, su correo electrónico y su número telefónico. Cuando tú te interconectes con la PUI, lo que va a pasar es que te puede entregar aparte: nombre, primer apellido, segundo apellido, correo electrónico, número de teléfono, etc. Es decir, más datos que tú no tenías contemplados en el aviso de privacidad”, explicó Díaz.
Esto implica que las empresas tendrán que modificar sus avisos de privacidad, actualizar sus sistemas de gestión de datos personales y, en muchos casos, replantear por completo cómo manejan información sensible que hasta ahora no les correspondía almacenar.
Además, el uso de biométricos —como huellas digitales en alta resolución— incrementa las exigencias de seguridad, al tratarse de información altamente sensible y difícil de sustituir en caso de filtración.
“Como parte de la PUI, se está generando una obligación que si tú tienes un biométrico, lo que vas a tener que hacer es generar la imagen de la biometría, por ejemplo, de la huella digital, ponerla con una calidad de 500 PPI”, señaló.
Enfatizó que esa calidad es “lo suficientemente buena como para poder tener una fotografía de las huellas digitales y sustraer las minucias biométricas para poderlas comparar con cualquier plantillo”, lo que convierte los datos biométricos en información altamente sensible, portable y difícil de sustituir en caso de filtración.
La CURP Biométrica, además, implica que las empresas privadas ya no podrán validar identidades con sus propios registros; deberán hacerlo contra una base centralizada de la Secretaría de Gobernación. Esto, dijo, transforma la gestión de identidad en un esquema de dependencia tecnológica y regulatoria, donde el cumplimiento normativo se vuelve tan relevante como la propia seguridad técnica.
Seguridad
En materia de seguridad, Díaz reconoció que los lineamientos de la plataforma tienen un punto bien resuelto: “Hay un requisito mínimo de seguridad que está muy bien planteado”, con análisis de código, pruebas de vulnerabilidad y protocolos de comunicación cifrada.
Sin embargo, advirtió riesgos en aspectos específicos. Uno de ellos es el uso de JSON Web Token (JWT) como mecanismo de autenticación.
“El estándar JWT tiene ciertas debilidades. Tal como se estableció en los lineamientos, no tiene por sí mismo una llave de cifrado. Hay una herramienta (Cyberchef) disponible en internet que, con pasos muy sencillos, descifra todo lo que imprimimos con JWT. Estamos generando una expectativa de falsa confianza de seguridad en el mercado”, explicó.
También subrayó la necesidad de protocolos como TLS 1.2 o superior, “el estándar técnico que se maneja para instituciones financieras y fintech”, añadió.
Otro hallazgo técnico relevante es el uso de direcciones IPv4 fijas como requisito de conexión, un esquema prácticamente agotado desde hace más de dos décadas. “Si en México hay 6 millones de empresas, potencialmente le estamos pidiendo que consuman 6 millones de IP que ya estaban agotadas”, advirtió Díaz.
La solución estándar es la transición a IPv6, pero “cuando vemos el manual y el registro en la página de gobernación, las direcciones IP son IPv4; no te permite cargar una IPv6. Tenemos un problema que vamos a agotar recursos por una mala planificación”.
Escalabilidad
Para Iván Díaz, uno de los grandes interrogantes es si la plataforma podrá operar de forma estable ante una adopción masiva.
“Cada vez que se va a cumplir una fecha crítica del SAT, la plataforma del SAT se cae. Si la arquitectura del SAT se cae y eso que tiene una necesidad de ingresos, ahora qué nos espera sobre una plataforma que es meramente para un cumplimiento de garantía social”, expuso.
Más allá de la tecnología, Díaz puso el foco en la magnitud del cambio estructural: “Hoy en día nuestro país está viviendo una transformación tecnológica jurídica que no había vivido desde el 99, cuando se sentaron las bases legales para los medios electrónicos en México”.
Bajo esta perspectiva, el experto concluyó que la Plataforma Única de Identidad no solo representa un avance en la integración de datos para la búsqueda de personas, sino que se erige como un desafío de gran escala que pondrá a prueba la verdadera capacidad tecnológica y regulatoria del ecosistema digital en México.
La imagen principal fue creada por Mobile Time con IA.
