Volver al blog

Qué es PUI y por qué importa en instituciones financieras

15 de junio de 2026
Tecnología Financiera

Qué es la PUI en México, por qué importa para financieras y qué implica conectar registros, CURP, seguridad y búsqueda de personas.

Qué es PUI y por qué importa en instituciones financieras

Plataforma Única de Identidad PUI para instituciones financieras

La Plataforma Única de Identidad (PUI) se ha vuelto un tema relevante para bancos, SOFOMes, fintechs y otras instituciones que administran información de personas físicas en México. No porque sea una herramienta de originación de crédito ni un servicio de onboarding, sino porque introduce una obligación técnica y operativa: interconectar sistemas institucionales para apoyar procesos de búsqueda, localización e identificación de personas desaparecidas o no localizadas.

En términos prácticos, la PUI obliga a ciertas instituciones a preparar sus registros para responder, con trazabilidad y seguridad, cuando exista una solicitud relacionada con una CURP. Para una institución financiera, esto toca bases de clientes, expedientes, operaciones, domicilios, datos de contacto, bitácoras y, cuando aplique, información biométrica.

Este artículo explica qué es PUI, por qué importa en el sector financiero y qué debería revisar una institución antes de pensar que se trata solo de "un API más".

Qué es la PUI

La PUI es una plataforma contemplada en el marco normativo mexicano para articular la consulta, validación y gestión de datos de identidad, con una finalidad especialmente sensible: apoyar la investigación, búsqueda, localización e identificación de personas desaparecidas o no localizadas.

Los Lineamientos para el Desarrollo y Operación de la Plataforma Única de Identidad establecen disposiciones sobre operación, seguridad, procedimientos, gestión de accesos y trazabilidad. También definen a las instituciones diversas como aquellas entidades responsables de registros, bases de datos o sistemas de información que pueden ser relevantes para esos fines.

La idea central es sencilla de explicar, aunque compleja de implementar:

si una institución tiene datos que podrían aportar información para localizar a una persona, debe poder responder de forma segura, trazable y automatizada.

Para una financiera, esto no significa usar la PUI para validar clientes en su proceso comercial. Significa preparar la institución para recibir reportes, buscar coincidencias en sus registros y notificar hallazgos cuando existan.

Qué no es la PUI

Es importante separar PUI de conceptos que se parecen, pero no son lo mismo.

La PUI no es:

  • una herramienta comercial de KYC
  • un motor de scoring
  • una base para aprobar o rechazar créditos
  • una API para enriquecer perfiles de clientes
  • un reemplazo de validación biométrica, OCR o listas PLD
  • una consulta libre para investigar personas

La PUI tiene una finalidad regulatoria y social específica. En el contexto de búsqueda de personas, las instituciones interconectadas deben responder a solicitudes bajo reglas de seguridad, trazabilidad y finalidad.

Esta diferencia es crítica para equipos de cumplimiento, tecnología y dirección. Tratar la PUI como si fuera un producto comercial de identidad puede llevar a una arquitectura equivocada, controles débiles o expectativas incorrectas.

Por qué importa para instituciones financieras

Las instituciones financieras manejan información especialmente útil para reconstruir actividad reciente o histórica de una persona:

  • CURP
  • nombre completo
  • fecha y lugar de nacimiento
  • teléfono
  • correo electrónico
  • domicilio
  • documentos de identificación
  • fotografías de expediente, si existen y son legalmente tratables
  • operaciones, pagos, solicitudes o actualizaciones de datos
  • sucursal, promotor o canal donde ocurrió un evento

Esa información puede ser relevante en tres escenarios:

  1. Búsqueda inmediata: confirmar si existe un registro vigente asociado a una CURP.
  2. Búsqueda histórica: revisar eventos pasados, dentro del alcance legal y técnico aplicable.
  3. Monitoreo continuo: detectar actividad futura mientras un reporte siga activo.

Por eso la PUI no debe verse solo como cumplimiento normativo. También exige gobierno de datos. Una financiera que no sabe dónde vive la CURP, cómo se relaciona con clientes y operaciones, o cómo auditar accesos, tendrá más fricción para integrarse.

Qué implica técnicamente

El Manual Técnico de la Solución Tecnológica para Instituciones Diversas, publicado en el DOF el 23 de enero de 2026, establece la base operativa para la interconexión técnica. Entre los elementos principales están:

  • endpoints que la institución debe exponer
  • endpoints que la institución debe consumir
  • autenticación mediante tokens
  • comunicación por HTTPS
  • uso de JSON y codificación UTF-8
  • trazabilidad de intercambios
  • pruebas previas a producción
  • requisitos de seguridad como SAST, DAST y SCA
  • cifrado de biométricos cuando aplique

En otras palabras: no basta con "tener una URL". La institución debe exponer servicios seguros, validar payloads, responder rápido, registrar cada interacción y mantener disponibilidad.

Una arquitectura responsable separa al menos cuatro capas:

  1. Capa de recepción: recibe reportes de la PUI.
  2. Capa de autenticación: valida identidad, tokens y vigencias.
  3. Capa de búsqueda: consulta sistemas internos por CURP y eventos relacionados.
  4. Capa de auditoría: registra qué se recibió, qué se consultó, qué se respondió y cuándo.

Las tres fases de búsqueda

La integración PUI no se limita a una consulta puntual. El modelo contempla fases de búsqueda con implicaciones distintas para datos y operación.

Fase 1: búsqueda inmediata

La institución revisa si tiene datos actuales asociados a una CURP. En una financiera, esto normalmente implica buscar en clientes, solicitantes, acreditados o usuarios vinculados a un expediente.

Fase 2: búsqueda histórica

La institución revisa registros históricos dentro del alcance definido. Esto puede ser más complejo porque involucra operaciones anteriores, expedientes cerrados, pagos, solicitudes o eventos que no siempre viven en una sola base de datos.

Fase 3: monitoreo continuo

Si el reporte sigue activo, la institución debe poder detectar actividad posterior. Por ejemplo, un nuevo trámite, una actualización de datos o una operación relacionada con la CURP.

Esta fase es la razón por la que la PUI no debe implementarse como una consulta manual. Requiere procesos programados, trazabilidad y alertas.

Riesgos de una implementación improvisada

Una implementación PUI hecha de forma apresurada puede fallar por razones muy concretas:

  • mezclar credenciales de entrada y salida
  • no separar ambientes de prueba y producción
  • usar URLs distintas a las registradas
  • no validar correctamente el token Bearer
  • no responder con códigos HTTP consistentes
  • ejecutar búsquedas pesadas dentro del hilo HTTP
  • no registrar bitácoras suficientes
  • exponer datos sensibles en logs
  • no separar sociedades legales o registros institucionales
  • no tener evidencia de seguridad cuando sea solicitada

En el sector financiero, además, hay que coordinar cumplimiento, seguridad, legal, operaciones y tecnología. La PUI toca datos personales y procesos sensibles; no es un proyecto únicamente de desarrollo.

Qué debería revisar una financiera

Antes de iniciar una integración PUI, conviene responder estas preguntas:

  • ¿Qué bases contienen CURP?
  • ¿La CURP está normalizada y validada?
  • ¿Qué sistemas guardan domicilio, teléfono, correo y documentos?
  • ¿Existe histórico de operaciones consultable?
  • ¿Qué eventos pueden considerarse relevantes?
  • ¿Qué datos biométricos se conservan y bajo qué base legal?
  • ¿La institución tiene una URL pública segura para webhooks?
  • ¿Tiene monitoreo, logs y trazabilidad?
  • ¿Quién será el enlace técnico?
  • ¿Quién administrará credenciales?
  • ¿Cómo se separan pruebas y producción?

Si estas respuestas no están claras, la integración técnica probablemente revelará problemas de gobierno de datos que ya existían.

Cómo ayuda Acendes

En Acendes vemos la PUI como una integración de cumplimiento, datos y trazabilidad. La dificultad no está solo en publicar endpoints, sino en conectar esos endpoints con los sistemas donde vive la información real.

Una plataforma como Acendes Aura puede ayudar a ordenar el flujo:

  • registrar solicitudes entrantes
  • consultar datos por CURP en sistemas conectados
  • ejecutar fases de búsqueda
  • mantener bitácoras
  • separar configuraciones por institución o sociedad legal
  • controlar credenciales
  • responder con trazabilidad
  • reducir trabajo manual del equipo operativo

La integración debe adaptarse al alcance legal y tecnológico de cada institución. Por eso, antes de desarrollar, conviene hacer un diagnóstico de sistemas, datos y responsabilidades.

Habla con Acendes si tu institución necesita evaluar la preparación técnica para PUI.

Preguntas frecuentes

¿La PUI aplica a todas las financieras?

Depende del alcance legal aplicable y de los registros que administre cada institución. Si una financiera conserva datos personales, CURP, expedientes u operaciones que puedan ser útiles para una búsqueda, debe revisar su obligación con asesoría legal y técnica.

¿La PUI sirve para validar clientes?

No debe entenderse como una herramienta comercial de validación de clientes. Su finalidad está relacionada con identidad, búsqueda, localización e identificación de personas desaparecidas o no localizadas, conforme al marco normativo aplicable.

¿Qué datos puede necesitar una financiera para responder a PUI?

Normalmente se revisan datos como CURP, nombre, teléfono, correo, domicilio, eventos operativos y, cuando aplique y exista base legal, datos biométricos cifrados.

¿La integración PUI requiere desarrollo?

Sí. La institución debe exponer y consumir endpoints, manejar autenticación, validar payloads, registrar bitácoras y cumplir requisitos de seguridad. Puede construirse internamente o apoyarse en una plataforma especializada.

¿Qué área debe liderar el proyecto?

Debe ser un proyecto coordinado entre cumplimiento, legal, tecnología, seguridad de la información y operación. Si se deja solo como tarea de TI, se corre el riesgo de resolver el API sin resolver datos, responsabilidades y trazabilidad.

Referencias

Lecturas relacionadas: Plataforma Única de Identidad: lo que toda financiera debe saber | Reforma PLD 2025 | Validación de identidad

¿Listo para Implementar Esto en tu Institución?

Agenda una demo personalizada y descubre cómo Acendes puede transformar tu operación

Solicitar Demo Gratuita →Ver Productos

⚡ Demo en vivo de 30 minutos · 🎯 Personalizada a tu caso de uso · 💡 Sin compromiso