PUIhoteles
ESEN Contratar ahora
Cumplimiento PUI
Conexión a la Ley PUICaptura de identidadPadrón de huéspedes
Cómo funciona
Modelo de consultaConectado a R2Seguridad y cifrado
Para tu hotel
Sin equipo técnicoLlaveMX y e.firmaDashboard de cumplimiento
Por tipo de hospedaje
HotelesHostalesMotelesAirbnb y rentas cortas
Por situación
Hoteles en CDMXPersona físicaHospedaje pequeño
Compara
PUIhoteles vs ConectaPUIPUIhoteles vs PUIMexicovs Desarrollo propio
Aprende
Qué es la Ley PUILa multa por no cumplirBlogCentro de ayuda
Empresa
NosotrosContacto
Precios Contratar ahora
Análisis legal-técnico · Manual Técnico v1.0

El Manual Técnico v1.0 de la PUI (DOF 23 de enero de 2026)

Publicado en el Diario Oficial de la Federación el 23 de enero de 2026, el Manual Técnico v1.0 es el instrumento que define cómo debe conectarse técnicamente un hospedaje a la Plataforma Única de Identidad: endpoints REST/JSON, autenticación con tokens JWT, cifrado AES-256-GCM, hash SHA3-256, transporte TLS y anexos de ciberseguridad. Analizamos qué establece y qué exige para la interconexión, en un lenguaje útil tanto para abogados como para responsables de sistemas.

Contratar ahoraCrea tu demo

Función del Manual en la cadena normativa

El Manual Técnico v1.0, publicado en el Diario Oficial de la Federación el 23 de enero de 2026, ocupa el último escalón normativo antes de la operación: traduce el deber legal de interconexión —fijado por el Artículo 12 Bis de la LGMDFP y enmarcado por los Lineamientos de noviembre de 2025— en especificaciones técnicas concretas. Es el documento que un responsable de sistemas necesita para construir la conexión a la PUI, y el que un abogado debe conocer para dimensionar la carga real de cumplimiento.

Su relevancia jurídica es doble. Por un lado, define el estándar técnico cuyo cumplimiento la autoridad podrá exigir. Por otro, evidencia que la interconexión a la PUI no es un trámite trivial: requiere desarrollo de software, gestión de credenciales y controles de seguridad que están fuera del alcance operativo de la mayoría de los hospedajes. Esa constatación es central para cualquier análisis costo-riesgo del cumplimiento.

El Manual se denomina v1.0, lo que anticipa su naturaleza evolutiva: las especificaciones técnicas pueden actualizarse en versiones posteriores. Para un programa de cumplimiento, esto implica que la interconexión no es un proyecto que se completa una vez, sino una capacidad que debe mantenerse al día conforme el estándar evoluciona.

Las especificaciones técnicas que define

El Manual establece la arquitectura de interconexión. Estos son sus componentes esenciales, descritos para un público mixto legal y técnico.

Endpoints REST/JSON

La interconexión se realiza mediante servicios web tipo REST que intercambian datos en formato JSON. El hospedaje expone o consume puntos de servicio definidos.

Autenticación JWT

El acceso se autentica con tokens JWT (JSON Web Token), que acreditan de forma firmada la identidad del sistema que consulta o responde.

Cifrado AES-256-GCM

Los datos sensibles se cifran con AES-256-GCM, un algoritmo de cifrado simétrico robusto que protege la confidencialidad e integridad de la información.

Hash SHA3-256

Se emplea la función hash SHA3-256 para verificar integridad de datos, de modo que cualquier alteración sea detectable.

Transporte TLS

Toda comunicación viaja sobre TLS, el protocolo que cifra el canal de transporte y evita la interceptación en tránsito.

Anexos de ciberseguridad

El Manual incorpora anexos con requisitos de seguridad, incluidos reportes de auditoría de software (análisis estático, dinámico y de dependencias).

Qué exige en la práctica para interconectarse

Más allá de los algoritmos, el Manual define un conjunto de prerrequisitos que un hospedaje debe satisfacer para conectarse formalmente. La interconexión requiere, en términos generales: contar con la e.firma del SAT del representante o titular como mecanismo de identificación; disponer de un perfil en el portal oficial y de un buzón institucional; acceder mediante LlaveMX (la identidad digital del gobierno); y registrar la URL del endpoint REST de consultas, protegido con JWT y TLS, acompañado de los reportes de seguridad que el Manual exige.

Esos reportes de seguridad merecen atención especial. El estándar contempla auditorías del tipo SAST (análisis estático del código), DAST (análisis dinámico de la aplicación en ejecución) y SCA (análisis de las dependencias o componentes de terceros). Preparar estos reportes no es una tarea administrativa: requiere conocimiento especializado de seguridad de software y herramientas específicas, lo que normalmente excede las capacidades internas de un hotel.

La conclusión analítica es clara: el Manual Técnico convierte la interconexión en un proyecto de ingeniería de software con requisitos de seguridad de nivel institucional. Para un establecimiento sin equipo de desarrollo, ejecutarlo internamente implica meses de trabajo, contratación de talento técnico y un mantenimiento continuo conforme el estándar evolucione. Es precisamente la brecha que un conector especializado está diseñado para cubrir.

Los prerrequisitos de interconexión que define el marco

La ruta técnica que el Manual presupone para conectar un hospedaje a la PUI.

  1. e.firma del SATLa firma electrónica del representante o titular, como mecanismo de identificación reconocido para el acceso.
  2. Perfil y buzón institucionalAlta del perfil en el portal oficial y habilitación del buzón institucional para las comunicaciones.
  3. Acceso con LlaveMXUso de la identidad digital del gobierno (LlaveMX) para autenticarse en el portal.
  4. URL del endpoint con JWT y TLSRegistro de la URL del servicio de consultas, protegido con tokens JWT y transporte TLS.
  5. Reportes de seguridad SAST/DAST/SCAEntrega de las auditorías de software que el estándar de ciberseguridad exige para autorizar la conexión.

Lo que el Manual revela sobre la carga de cumplimiento

Cuatro conclusiones para dimensionar el esfuerzo real.

Es un proyecto de software

Construir endpoints, gestionar tokens y aplicar cifrado es ingeniería, no un trámite de ventanilla.

Exige seguridad institucional

Cifrado AES-256-GCM, hash SHA3-256 y TLS, más auditorías SAST, DAST y SCA: estándares de nivel empresarial.

Requiere mantenimiento

Al ser v1.0, las especificaciones evolucionarán; la integración debe sostenerse y actualizarse en el tiempo.

Excede al hotel típico

La mayoría de los hospedajes carece de equipo de desarrollo y de seguridad para ejecutarlo internamente.

Fuentes oficiales

Manual Técnico v1.0 de la Plataforma Única de Identidad, publicado en el Diario Oficial de la Federación el 23 de enero de 2026. Define las especificaciones de interconexión (endpoints REST/JSON, autenticación JWT, cifrado AES-256-GCM, hash SHA3-256, transporte TLS) y los anexos de ciberseguridad, incluidos los reportes de auditoría de software.

Marco superior: Ley General en Materia de Desaparición Forzada de Personas (LGMDFP), Artículo 12 Bis. Instrumento secundario previo: Lineamientos publicados en el Diario Oficial de la Federación el 27 de noviembre de 2025. Instrumento pendiente: Manual de Operación del Servicio Nacional de Identificación Personal (SNIP), no publicado a junio de 2026.

Órganos responsables: Secretaría de Gobernación (SEGOB), Registro Nacional de Población (RENAPO) y Comisión Nacional de Búsqueda (CNB), con soporte técnico de la Agencia de Transformación Digital y Telecomunicaciones (ATDT). La e.firma utilizada en el procedimiento corresponde al Servicio de Administración Tributaria (SAT).

Preguntas frecuentes sobre el Manual Técnico v1.0

¿Qué define el Manual Técnico v1.0?
Define cómo debe conectarse técnicamente un hospedaje a la PUI: endpoints REST/JSON, autenticación con tokens JWT, cifrado AES-256-GCM, hash SHA3-256, transporte TLS y anexos de ciberseguridad. Se publicó en el DOF el 23 de enero de 2026.
¿Qué se necesita para interconectarse según el Manual?
En términos generales: e.firma del SAT del representante o titular, perfil en el portal oficial y buzón institucional, acceso con LlaveMX, y registro de la URL del endpoint de consultas protegido con JWT y TLS, acompañado de reportes de seguridad de software.
¿Qué son SAST, DAST y SCA y por qué los exige?
Son tipos de auditoría de seguridad de software: análisis estático del código (SAST), análisis dinámico de la aplicación en ejecución (DAST) y análisis de dependencias o componentes de terceros (SCA). El estándar los exige para asegurar que el endpoint que se conecta a la PUI cumple criterios de ciberseguridad.
¿Por qué el cifrado y el hash importan jurídicamente?
Porque los datos de identidad son datos personales que deben protegerse. AES-256-GCM cifra la confidencialidad, SHA3-256 verifica integridad y TLS protege el canal. Cumplir estos estándares es parte de tratar los datos con la seguridad que la normativa exige.
¿Puede un hotel ejecutar esto internamente?
Es legalmente posible, pero el Manual convierte la interconexión en un proyecto de ingeniería de software con seguridad de nivel institucional. Para un establecimiento sin equipo de desarrollo implica meses de trabajo, talento técnico y mantenimiento continuo conforme el estándar evolucione.
¿Que sea v1.0 significa que cambiará?
La denominación v1.0 anticipa una naturaleza evolutiva: las especificaciones técnicas pueden actualizarse en versiones posteriores. Por eso la interconexión no es un proyecto que se completa una vez, sino una capacidad que debe mantenerse al día.

Pon PUIhoteles a trabajar por ti

Contratar ahora