Know Your Supplier (KYS): verificación de proveedores en México
Guía KYS para México: UIF, CNBV, SAT y LFPIORPI para equipos de compras. Checklist de 12 verificaciones, documentos INE/RFC, señales de alerta y automatización 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl Know Your Supplier (KYS) — o "Conoce a tu Proveedor" — es el proceso de diligencia debida mediante el cual una organización verifica sistemáticamente la identidad legal, la idoneidad y el perfil de cumplimiento de sus proveedores antes y durante cualquier relación comercial. En México, este proceso se rige por un marco regulatorio propio, distinto al europeo: la Unidad de Inteligencia Financiera (UIF), la Comisión Nacional Bancaria y de Valores (CNBV) y el Servicio de Administración Tributaria (SAT) articulan las obligaciones principales de verificación de contrapartes comerciales.
La ley base es la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), publicada en el DOF el 17 de octubre de 2012, que establece las actividades vulnerables y las obligaciones de identificación y reporte ante la UIF. Complementariamente, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) rige el tratamiento de datos personales en el proceso KYS, con supervisión del INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
Los equipos de compras que automatizan su proceso KYS reducen el tiempo de procesamiento en un 83 % y el coste por expediente proveedor en un 67 % (análisis interno CheckFile, 2026).
¿Qué es el Know Your Supplier (KYS) en México?
El KYS aplica los principios del KYC (Know Your Customer) al lado del aprovisionamiento empresarial: en lugar de conocer a los clientes, se trata de conocer a los proveedores. El proceso abarca tres dimensiones: verificación de la identidad legal, autenticación de las coordenadas bancarias y evaluación continua del perfil de riesgo a lo largo de la relación comercial.
Un programa KYS completo en México incluye:
- Verificación de la existencia legal y la situación del proveedor (activo, liquidado, cancelado)
- Identificación de los socios y beneficiarios reales (equivalente al UBO europeo)
- Cribado en listas de sanciones internacionales (OFAC, ONU) y nacionales (OFAC, UIF)
- Verificación de Personas Políticamente Expuestas (PEP) en la dirección y estructura accionarial
- Revisión de noticias adversas y antecedentes legales
- Autenticación de los datos bancarios (RFC del titular de la cuenta) para prevenir fraudes
El artículo 38 de la LFPIORPI establece que las entidades del sector financiero deben verificar la identidad de sus proveedores y subcontratistas con acceso a operaciones vulnerables (LFPIORPI — DOF 17/10/2012 y reformas).
Marco normativo mexicano del KYS
LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita): ley base de prevención del lavado de dinero en México. Define las actividades vulnerables (sector financiero, bienes raíces, vehículos, joyería, servicios profesionales) y las obligaciones de identificación de clientes y contrapartes ante la UIF. El portal de la UIF publica guías, tipologías y listas de personas investigadas.
CNBV (Comisión Nacional Bancaria y de Valores): supervisa y regula a las instituciones financieras. Las Disposiciones de carácter general de la CNBV establecen los criterios específicos de identificación del cliente y de las partes relacionadas, incluyendo proveedores con acceso a información financiera sensible.
SAT (Servicio de Administración Tributaria): el RFC (Registro Federal de Contribuyentes) es el identificador fiscal principal de empresas y personas físicas en México. El SAT mantiene una lista negra de contribuyentes con operaciones simuladas (EFOS/EDOS) que todo equipo de compras debe verificar antes de pagar a un proveedor.
LFPDPPP + normatividad INAI: la recopilación y tratamiento de datos personales (RFC, CURP, INE, datos biométricos) en el proceso KYS debe cumplir los principios de la LFPDPPP y las Recomendaciones del INAI, disponibles en inicio.inai.org.mx.
| Normativa | Umbral de aplicación | Obligación KYS principal |
|---|---|---|
| LFPIORPI (2012) | Actividades vulnerables definidas en la ley | Identificación ante la UIF y reporte de operaciones |
| Disposiciones CNBV | Instituciones del sistema financiero | Identificación y verificación de contrapartes |
| LFPDPPP + INAI | Todas las empresas que traten datos personales | Protección de datos en procesos de verificación |
| Lista negra SAT (EFOS/EDOS) | Todas las empresas | Verificación RFC en lista de simuladores |
Documentos de identificación en México
En México, los documentos de identidad y corporativos difieren sustancialmente de los europeos:
| Documento MX | Equivalente ES/UE | Función |
|---|---|---|
| RFC (Registro Federal de Contribuyentes) | NIF/CIF (España) | Identificación fiscal de personas y empresas |
| INE (Credencial para votar) | DNI (España) | Identificación oficial de personas físicas |
| CURP (Clave Única de Registro de Población) | No equivalente UE | Identificador único de personas físicas en México |
| e.firma (antes FIEL) | DNIe / Cl@ve (España) | Firma electrónica certificada por el SAT |
| Acta constitutiva + inscripción en RPP | Escritura notarial + Registro Mercantil | Constitución y existencia legal de la empresa |
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoChecklist KYS en México: las 12 verificaciones
Pasos 1–4: Verificación de identidad legal
| Documento | Fuente oficial | Frecuencia de control |
|---|---|---|
| Constancia de Situación Fiscal | SAT — Mi Contabilidad | En incorporación + cada cambio |
| Acta constitutiva inscrita en RPP | Registro Público de Comercio (estatal) | En incorporación |
| Identificación de socios y representantes (INE/CURP) | INE / RENAPO | En incorporación |
| RFC activo y no incluido en lista SAT EFOS/EDOS | Lista SAT | En cada pago >$1,000 USD equiv. |
Pasos 5–6: Verificación de datos bancarios
La autenticación de la CLABE interbancaria y la titularidad de la cuenta (verificación del RFC del titular) es la medida más eficaz contra el fraude por cambio de datos bancarios. Este tipo de fraude representa el 31 % de los casos de fraude con proveedores documentados en nuestra plataforma. La verificación debe repetirse en cada cambio bancario comunicado, independientemente del canal utilizado.
Pasos 7–9: Cribado de sanciones, PEP y noticias adversas
El cribado debe cubrir la lista SDN de OFAC (incluyendo narcotráfico y carteles mexicanos designados), las listas de la ONU y el Diario Oficial de la Federación (DOF) para sanciones nacionales. La detección de PEP debe extenderse a administradores, socios mayoritarios y personas relacionadas con el crimen organizado. La UIF publica periódicamente listas de personas y entidades con vinculaciones financieras ilícitas.
Pasos 10–12: Verificaciones sectoriales específicas
Según el sector del proveedor: permisos y licencias federales o estatales, certificaciones de calidad, pólizas de seguro de responsabilidad civil, cumplimiento con el IMSS (Instituto Mexicano del Seguro Social) para proveedores con empleados, y certificación como Empresa de Responsabilidad Social cuando aplique.
Modelo de puntuación de riesgo
| Nivel de riesgo | Criterios | Frecuencia de revisión |
|---|---|---|
| Bajo | Proveedor registrado en México, <$500 mil MXN/año, sector no regulado | Anual |
| Medio | Proveedor extranjero o $500 mil–$5 M MXN/año, o sector regulado | Semestral |
| Alto | >$5 M MXN/año, estados con alta incidencia delictiva, o sector regulado | Trimestral + DDR |
| Crítico | Proveedor estratégico, operaciones en territorios con presencia de crimen organizado | Vigilancia continua |
Según el Índice de Riesgo Documental CheckFile, los expedientes de proveedores en sectores de alto volumen transaccional obtienen una puntuación media de 6,2/10, lo que justifica la automatización de los controles para garantizar la exhaustividad de las verificaciones.
Especificidades del KYS en México
Lista negra SAT (EFOS/EDOS): a diferencia de Europa, en México el SAT publica una lista pública de contribuyentes con operaciones simuladas (EFOS — Empresas Facturadoras de Operaciones Simuladas y EDOS — Empresas que Deducen Operaciones Simuladas). Contratar a un proveedor incluido en esta lista puede anular deducciones fiscales y generar responsabilidades penales. La verificación es obligatoria antes de cualquier pago.
Estructura federal + estatal: el Registro Público de Comercio (RPP) es estatal en México — cada estado tiene su propio registro, sin un registro nacional unificado equivalente al Registro Mercantil Central español. La verificación debe realizarse en el estado donde la empresa tiene su domicilio fiscal principal.
IMSS y seguridad social: a diferencia del sistema URSSAF francés o el ONSS belga, las obligaciones de seguridad social en México se verifican con el IMSS. Una consulta en el portal del IMSS permite confirmar que el proveedor está al corriente de sus obligaciones patronales.
KYS, KYC y KYB: diferencias clave
| Proceso | Objetivo | Contexto principal |
|---|---|---|
| KYC (Know Your Customer) | Clientes, inversores | Bancos, fintechs, aseguradoras |
| KYB (Know Your Business) | Socios comerciales | Onboarding B2B, licitaciones |
| KYS (Know Your Supplier) | Proveedores, subcontratistas | Compras, cadena de suministro |
Para profundizar en los procesos de verificación de empresas, consulte nuestra guía sobre verificación documental de empresas en el onboarding KYB y el checklist de due diligence para empresas.
Señales de alerta específicas para México
- RFC incluido en la lista de EFOS/EDOS del SAT — riesgo fiscal inmediato
- CLABE interbancaria con titular (RFC) diferente al RFC del proveedor registrado
- Ausencia de inscripción verificable en el Registro Público de Comercio estatal
- Dirección fiscal en estado de alta incidencia delictiva sin justificación operativa
- Negativa a proporcionar constancia de situación fiscal actualizada o acta constitutiva
- Socios o administradores mencionados en la lista de personas investigadas por la UIF
Automatizar el proceso KYS en México
CheckFile automatiza todo el flujo KYS para empresas con operaciones en México: verificación RFC en listas SAT, consulta de situación fiscal, cribado OFAC/UIF, y generación de trazabilidad de auditoría. Consulte también el guía de verificación de documentos para la metodología completa.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento jurídico, fiscal ni regulatorio en México. Para situaciones específicas, consulte a un abogado o experto en compliance con experiencia en derecho mexicano.
Preguntas frecuentes
¿Qué es el Know Your Supplier (KYS) en México?
El KYS en México es el proceso de diligencia debida mediante el cual una empresa verifica la identidad legal (RFC, acta constitutiva), la situación fiscal (lista SAT), los beneficiarios reales y los datos bancarios (CLABE) de sus proveedores, antes y durante la relación comercial. Se apoya principalmente en la LFPIORPI, las disposiciones de la CNBV y las obligaciones ante la UIF.
¿Es obligatorio el KYS en México?
Sí, para las entidades financieras y demás personas con actividades vulnerables definidas en la LFPIORPI. Para todas las empresas, la verificación en la lista negra del SAT es de facto obligatoria para evitar la invalidación de deducciones fiscales. Las empresas con operaciones que puedan alcanzar clientes en la UE también deben cumplir con la normativa AMLD6.
¿Qué documentos hay que recopilar en un proceso KYS en México?
El expediente KYS básico para proveedores mexicanos incluye: constancia de situación fiscal SAT actualizada, acta constitutiva inscrita en el RPP estatal, identificaciones oficiales (INE/pasaporte) de socios y representantes, CLABE interbancaria verificada, carta de no adeudo al IMSS y constancia de regularidad ante el SAT. Cada documento debe verificarse en la fuente oficial.
¿Cómo verificar si un proveedor está en la lista negra del SAT?
La lista de contribuyentes con operaciones presuntamente inexistentes (EFOS/EDOS) del SAT es pública y puede consultarse gratuitamente en sat.gob.mx. La verificación debe realizarse antes de cualquier primera compra y repetirse periódicamente, ya que el SAT actualiza la lista con regularidad.
¿Cuál es la diferencia entre el RFC y el CURP?
El RFC (Registro Federal de Contribuyentes) es el identificador fiscal tanto de personas físicas como de personas morales (empresas) en México. El CURP (Clave Única de Registro de Población) es el identificador demográfico único exclusivo de personas físicas. Para el proceso KYS de proveedores, el RFC es el documento de identificación fiscal primario para verificar la situación tributaria y la ausencia en listas negras del SAT.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.