Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento16 min de lectura

Ciberseguridad en México: verificación documental para sectores críticos 2026

CNBV, LFPDPPP e INAI: obligaciones de verificación documental para infraestructuras críticas en México 2026. Proveedores, personal y notificación de incidentes.

El equipo CheckFile
El equipo CheckFile·
Illustration for Ciberseguridad en México: verificación documental para sectores críticos 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La directiva NIS2 europea ha generado un intenso debate sobre ciberseguridad en infraestructuras críticas. Sin embargo, esta norma no aplica en México. Lo que sí aplica, con exigencias equivalentes en materia de verificación documental, son las disposiciones de la Comisión Nacional Bancaria y de Valores (CNBV), la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y la Estrategia Nacional de Ciberseguridad 2017. Aunque México no cuenta con una ley única de ciberseguridad equivalente a NIS2, el conjunto regulatorio vigente impone obligaciones concretas y sancionables sobre la documentación de accesos, la verificación de proveedores y la notificación de incidentes.

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación específica.

El panorama regulatorio de ciberseguridad en México en 2026

A diferencia de la Unión Europea, que cuenta con la directiva NIS2 como marco transversal y obligatorio para operadores de servicios esenciales, México opera con un modelo sectorial fragmentado. No existe una ley federal única de ciberseguridad con cobertura horizontal. La protección de infraestructuras críticas se articula a través de distintos cuerpos normativos que convergen en un punto: la obligación de documentar, verificar y conservar información sobre personas, accesos y sistemas.

La Estrategia Nacional de Ciberseguridad 2017 (ENC 2017), publicada durante el gobierno del presidente Peña Nieto, identificó los sectores prioritarios —banca, salud, energía, transporte y agua— y estableció principios de colaboración público-privada. Sin embargo, la ENC no genera obligaciones jurídicas directas: su fuerza normativa deriva de las disposiciones sectoriales que la desarrollan.

En 2026, el paisaje regulatorio de ciberseguridad en México incluye:

  • CNBV — Circular Única de Bancos (CUB) con capítulos específicos sobre ciberseguridad para instituciones de crédito y entidades financieras
  • INAI — Aplicación de la LFPDPPP con obligaciones de notificación de brechas de seguridad
  • UIF — Supervisión de las obligaciones de identificación documental bajo LFPIORPI
  • CERT-MX — Equipo de Respuesta a Incidentes de Seguridad de la Secretaría de Seguridad y Protección Ciudadana
  • CNI — Centro Nacional de Inteligencia, para incidentes de impacto en seguridad nacional
  • Banxico — Circulares aplicables a sistemas de pagos e instituciones de crédito

Esta arquitectura sectorial tiene una implicación directa para los responsables de cumplimiento: no basta con vigilar un único marco normativo. La verificación documental debe diseñarse para satisfacer simultáneamente las exigencias de la CNBV, el INAI, la UIF y, según el sector, los reguladores específicos como la Comisión Reguladora de Energía (CRE), la Comisión Federal de Telecomunicaciones (Cofetel) o Cofepris.

Disposiciones CNBV: obligaciones documentales para instituciones financieras

La CNBV es la autoridad más activa en materia de ciberseguridad con impacto sobre la verificación documental. Las disposiciones de carácter general aplicables a las instituciones de crédito —contenidas en la Circular Única de Bancos— incluyen desde 2022 un capítulo de ciberseguridad que establece requisitos concretos de documentación.

Las instituciones financieras sujetas a la CUB deben mantener y conservar:

  1. Política de seguridad de la información documentada — aprobada por el Consejo de Administración, revisada anualmente y con evidencia de comunicación a todo el personal.
  2. Inventario de activos de información — incluyendo los activos de terceros proveedores con acceso a sistemas críticos.
  3. Evaluación de riesgos de terceros — verificación documental de los proveedores con acceso a infraestructura crítica antes de su contratación y con periodicidad anual.
  4. Registros de control de accesos — documentación de las credenciales otorgadas, modificadas y revocadas para sistemas de información sensibles.
  5. Plan de continuidad del negocio — con evidencia de las pruebas realizadas y sus resultados.

El incumplimiento de estas disposiciones puede acarrear sanciones de la CNBV que van desde amonestaciones hasta multas de 100,000 a 150,000 Unidades de Medida y Actualización (UMA), equivalentes a varios millones de pesos, según los artículos 108 y siguientes de la Ley de Instituciones de Crédito. Las disposiciones actualizadas de la CNBV pueden consultarse en cnbv.gob.mx.

Para la verificación documental de identidad, la CNBV exige que las instituciones verifiquen la autenticidad de la credencial para votar emitida por el INE, el RFC ante el SAT y, en el caso de personas morales, la constancia de situación fiscal y los documentos del Registro Público de Comercio del estado correspondiente. El uso de la e.firma (antes denominada FIEL) del SAT es el estándar para la identificación electrónica de personas físicas y morales ante las instituciones financieras.

LFPDPPP e INAI: verificación documental y protección de datos

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, 2010) establece las obligaciones de las organizaciones privadas en materia de tratamiento de datos personales. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad supervisora encargada de su aplicación.

Para las entidades de sectores críticos, la LFPDPPP impone obligaciones documentales que se articulan en tres ejes:

Aviso de privacidad: toda recopilación de datos personales —incluidos los documentos de identidad recabados en procesos de verificación— debe estar respaldada por un aviso de privacidad publicado y accesible. Este aviso debe especificar las finalidades del tratamiento, las transferencias a terceros y los mecanismos para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

Medidas de seguridad: el artículo 19 de la LFPDPPP obliga al responsable a adoptar medidas administrativas, técnicas y físicas para proteger los datos personales. En la práctica, esto significa documentar los controles de acceso a los expedientes que contienen documentos de identidad, las políticas de retención y destrucción, y los acuerdos de confidencialidad con el personal que los gestiona.

Notificación de brechas: ante una vulneración de seguridad que afecte a datos personales, el responsable debe notificar al INAI sin dilación indebida. La LFPDPPP no fija un plazo específico en horas —a diferencia de la obligación de 24 horas de la CNBV para incidentes financieros—, pero el INAI ha interpretado "sin dilación indebida" como un máximo de 72 horas para los casos de mayor impacto. La notificación debe acompañarse de documentación sobre la naturaleza de la brecha, las categorías de datos afectados y las medidas adoptadas.

Las sanciones del INAI por incumplimiento de la LFPDPPP pueden alcanzar los 320,000 días de salario mínimo general vigente, según el artículo 64 de la ley. En 2026, esto equivale a montos superiores a 30 millones de pesos para las infracciones más graves.

Para una visión completa del programa de cumplimiento documental, consulte nuestra guía sobre cómo construir un programa de cumplimiento documental.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Seguridad de la cadena de suministro: verificar documentación de proveedores

La seguridad de la cadena de suministro es uno de los puntos de mayor convergencia entre el marco mexicano y los principios de NIS2. Las disposiciones de la CNBV exigen explícitamente la evaluación de riesgos de proveedores que tengan acceso a sistemas críticos. La LFPIORPI establece obligaciones de identificación para proveedores de servicios en actividades vulnerables. Y la práctica internacional de gestión de riesgos de terceros (TPRM) se ha consolidado como estándar de facto en las instituciones financieras mexicanas supervisadas por la CNBV.

La verificación documental de proveedores críticos debe incluir, como mínimo:

Documento Propósito Fuente de verificación
Constancia de situación fiscal (SAT) RFC activo y obligaciones fiscales al corriente sat.gob.mx
Escritura constitutiva y poderes notariales Legitimidad de la persona moral y representación legal Registro Público de Comercio estatal
Opinión de cumplimiento de obligaciones fiscales Sin adeudos ante el SAT sat.gob.mx
Certificaciones de seguridad (ISO 27001, SOC 2) Nivel de madurez en ciberseguridad Organismo certificador
INE / Pasaporte del representante legal Identidad del apoderado que firma contratos INE / SRE
e.firma vigente Identificación electrónica ante el SAT sat.gob.mx
Acreditación ante la CNBV (si aplica) Autorización para operar como entidad financiera cnbv.gob.mx

Las instituciones financieras deben conservar esta documentación durante un mínimo de 10 años para los proveedores de servicios críticos, conforme a las disposiciones de la CNBV aplicables a la gestión de riesgos operacionales. La LFPIORPI establece un plazo de conservación de 5 años para la documentación relacionada con actividades vulnerables.

Para profundizar en la gestión de riesgos de terceros, consulte nuestro artículo sobre gestión de riesgos de terceros (TPRM).

Documentación de personal autorizado y control de accesos

El control documental del personal con acceso a infraestructuras críticas es una obligación tanto de la CUB (para el sector financiero) como de la LFPDPPP (para cualquier sector con tratamiento de datos personales). En el contexto de ciberseguridad, esta obligación se traduce en la necesidad de mantener expedientes completos y verificados del personal que opera sistemas críticos.

Los expedientes de personal deben incluir:

  • Credencial para votar (INE) vigente — documento de identidad oficial primario en México. La verificación debe incluir la consulta al listado nominal del INE para confirmar su vigencia y autenticidad.
  • RFC y CURP — el Registro Federal de Contribuyentes emitido por el SAT y la Clave Única de Registro de Población deben coincidir con los datos del INE y conservarse en el expediente.
  • Pasaporte o forma migratoria — para personal extranjero, la Tarjeta de Residente Temporal o Permanente emitida por el INM sustituye a la credencial del INE como documento de identidad válido.
  • e.firma vigente — para el personal que realiza trámites electrónicos en nombre de la institución ante el SAT, CNBV u otras autoridades.
  • Acuerdo de confidencialidad y política de seguridad firmados — con fecha y versión del documento.
  • Registro de capacitación en ciberseguridad — evidencia documentada de la formación recibida, exigida por las disposiciones de la CNBV.

Las bajas de personal deben gestionarse con un protocolo documental equivalente al de las altas: revocación documentada de accesos, entrega de equipos y firma del finiquito que incluya cláusulas de confidencialidad postempleo. Las disposiciones de la CNBV exigen que las instituciones financieras sean capaces de acreditar en cualquier momento quién tiene acceso a qué sistemas y desde cuándo.

Notificación de incidentes: plazos ante CNBV, INAI y CERT-MX

La notificación de incidentes de seguridad es el elemento donde el marco mexicano más se acerca a los requisitos de NIS2, aunque con plazos y autoridades distintas. Las instituciones de sectores críticos deben identificar correctamente a qué autoridades notificar y en qué plazo, ya que los regímenes son paralelos y no excluyentes.

CNBV — 24 horas para instituciones financieras: la CUB exige que las instituciones de crédito notifiquen a la CNBV cualquier incidente de ciberseguridad significativo en un plazo máximo de 24 horas desde su detección. La notificación debe incluir una descripción del incidente, los sistemas afectados, el impacto estimado y las medidas de contención adoptadas. Una notificación complementaria con el análisis forense completo debe remitirse en un plazo de 72 horas.

INAI — sin dilación indebida para brechas de datos personales: ante cualquier vulneración de seguridad que comprometa datos personales, el responsable debe notificar al INAI. La notificación debe documentar el tipo de datos afectados, el número aproximado de titulares, las medidas correctivas implementadas y, si procede, la comunicación a los propios titulares afectados. La información actualizada sobre el procedimiento de notificación está disponible en inai.org.mx.

CERT-MX — canal de reporte voluntario y obligatorio según sector: el Equipo de Respuesta a Incidentes de Seguridad de la Secretaría de Seguridad y Protección Ciudadana (CERT-MX) opera como punto de coordinación para incidentes que afecten a infraestructuras críticas. Para los sectores de energía, transporte y telecomunicaciones, el reporte al CERT-MX puede ser requerido por el regulador sectorial correspondiente (CRE, SCT o IFT).

UIF — reportes de operaciones inusuales: si el incidente de ciberseguridad está vinculado a una posible operación de lavado de dinero o financiamiento al terrorismo —por ejemplo, un acceso fraudulento para realizar transferencias no autorizadas—, el sujeto obligado debe presentar simultáneamente un Reporte de Operación Inusual (ROI) ante la UIF conforme a la LFPIORPI.

La documentación del proceso de respuesta al incidente —desde la detección hasta el cierre— es en sí misma una obligación regulatoria. La CNBV puede requerir esta documentación en sus visitas de inspección, y el INAI en el marco de un procedimiento sancionador.

NIS2 vs. Marco Regulatorio Mexicano: tabla comparativa

Aunque NIS2 no aplica en México, la comparación entre ambos marcos ayuda a identificar los requisitos equivalentes que las instituciones mexicanas deben satisfacer.

Requisito NIS2 (UE) Equivalente mexicano Autoridad supervisora Plazo de notificación
Política de seguridad de la información CUB — capítulo de ciberseguridad CNBV N/A (revisión anual)
Gestión de riesgos de terceros Disposiciones CNBV — evaluación de proveedores CNBV N/A (anual)
Notificación de incidentes en 24 horas CUB — reporte de incidentes significativos CNBV 24 horas
Notificación de brechas de datos personales LFPDPPP — art. 20 INAI Sin dilación indebida
Control de accesos documentado CUB — gestión de accesos CNBV N/A (permanente)
Continuidad del negocio CUB — plan de continuidad CNBV / Banxico N/A
Identificación de personal y proveedores LFPIORPI — arts. 17-18 UIF / CNBV N/A (en el acto)
Capacitación en ciberseguridad CUB — formación documentada CNBV N/A (anual)
Protección de datos personales LFPDPPP INAI Según tipo de tratamiento
Coordinación con CERT nacional CERT-MX (SSP/GN) SSP/GN Según sector

La principal diferencia estructural es que NIS2 crea obligaciones horizontales para todos los operadores de servicios esenciales, mientras que el marco mexicano genera obligaciones sectoriales diferenciadas. Una entidad de salud tiene obligaciones distintas a una institución financiera, aunque ambas operan infraestructuras críticas. Esto exige un mapeo normativo cuidadoso para cada organización.

Cómo CheckFile apoya el cumplimiento documental en México

El cumplimiento de las obligaciones documentales impuestas por la CNBV, el INAI y la UIF requiere procesar, verificar y conservar volúmenes crecientes de documentos: credenciales del INE, RFCs, e.firmas, constancias del SAT, escrituras notariales, certificaciones de seguridad de proveedores y registros de capacitación del personal. La gestión manual de estos expedientes genera riesgos de error, inconsistencia y falta de trazabilidad que las autoridades detectan en sus inspecciones.

CheckFile automatiza la verificación documental para entidades de sectores críticos en México. La plataforma soporta más de 3.200 tipos de documentos en 32 jurisdicciones, incluyendo los documentos de identidad mexicanos —credencial para votar del INE, pasaporte, CURP, RFC y e.firma— y los documentos corporativos emitidos por los Registros Públicos de Comercio de los 32 estados.

Para los requerimientos específicos del sector financiero mexicano, la solución CheckFile para KYC bancario integra la verificación de identidad con la consulta automática a fuentes oficiales, generando expedientes digitales con trazabilidad completa. Cada verificación queda registrada con marca de tiempo, identificación del operador y resultado del análisis, satisfaciendo los requisitos de audit trail de la CNBV.

La plataforma de seguridad documental de CheckFile incluye controles de acceso por roles que permiten documentar quién tiene acceso a qué expedientes, cuándo y con qué propósito. Este registro automatizado es directamente exportable para las inspecciones de la CNBV y los procedimientos del INAI.

Para conocer las opciones de implementación adaptadas al tamaño y sector de su organización, consulte nuestra página de tarifas.

Para una visión completa de la verificación documental como disciplina de cumplimiento, consulte nuestra guía de conformidad documental.

Preguntas frecuentes

¿Aplica NIS2 a las empresas mexicanas?

No. La directiva NIS2 es legislación de la Unión Europea y solo aplica a entidades establecidas o que prestan servicios en territorio de la UE. Las empresas mexicanas que no operan en Europa no tienen obligaciones derivadas de NIS2. Sin embargo, las obligaciones equivalentes en México —CUB de la CNBV, LFPDPPP, LFPIORPI y la ENC 2017— generan requisitos de verificación documental y ciberseguridad comparables para los sectores críticos.

¿Cuánto tiempo debe conservarse la documentación de verificación de proveedores en México?

El plazo varía según el marco aplicable. La LFPIORPI establece un mínimo de 5 años para la documentación relacionada con actividades vulnerables. Las disposiciones de la CNBV aplicables a instituciones financieras exigen conservar la documentación de proveedores de servicios críticos durante al menos 10 años. Para la documentación que contiene datos personales, la LFPDPPP exige conservarla solo durante el tiempo necesario para cumplir las finalidades declaradas en el aviso de privacidad, destruyéndola después conforme al procedimiento documentado de supresión.

¿Qué documentos de identidad son válidos para la verificación de empleados en México?

Para personas físicas de nacionalidad mexicana, la credencial para votar emitida por el INE es el documento de identidad oficial por excelencia. También se aceptan el pasaporte mexicano vigente y la cédula profesional. Para extranjeros con residencia legal en México, la Tarjeta de Residente Temporal o Permanente emitida por el Instituto Nacional de Migración (INM) es el documento equivalente. En todos los casos, la CNBV exige que la verificación incluya la consulta a fuentes oficiales para confirmar la vigencia y autenticidad del documento.

¿Cuáles son los plazos de notificación de incidentes de ciberseguridad en México?

Las instituciones financieras sujetas a la CUB deben notificar a la CNBV en un plazo máximo de 24 horas desde la detección del incidente significativo. Para brechas de datos personales, el INAI debe ser notificado sin dilación indebida, plazo que en la práctica supervisora equivale a un máximo de 72 horas para los casos de mayor impacto. Si el incidente implica riesgos para la seguridad nacional, el CNI (Centro Nacional de Inteligencia) puede activar protocolos de coordinación. Estos plazos son paralelos: una sola brecha que afecte a datos financieros y personales puede generar obligaciones simultáneas ante la CNBV y el INAI.

¿Qué sanciones puede imponer la CNBV por deficiencias en la verificación documental?

La Ley de Instituciones de Crédito prevé sanciones administrativas que van desde amonestaciones hasta multas de 100,000 a 150,000 UMA (varios millones de pesos) por incumplimiento de las disposiciones de la CNBV sobre ciberseguridad y gestión de riesgos. En casos graves, la CNBV puede imponer medidas cautelares, restricciones operativas o incluso la revocación de la autorización para operar. Adicionalmente, el incumplimiento de las obligaciones de identificación bajo la LFPIORPI expone a la institución a multas de hasta 65,000 UMA impuestas por la UIF. Las sanciones son independientes entre sí: la CNBV y la UIF pueden actuar simultáneamente sobre los mismos hechos desde sus respectivas competencias.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento8 min

Travel Rule GAFI para VASPs cripto en México: cumplimiento KYC 2026

Travel Rule del GAFI y LFPIORPI en México: obligaciones KYC de los VASPs cripto, INE/RFC, UIF, CNBV y cumplimiento PLD-FT para instituciones de tecnología financiera (ITF) en 2026.

Leer
Cumplimiento8 min

Países de alto riesgo GAFI 2026: obligaciones PLD-FT en México

Listas negra y gris del GAFI actualizadas en febrero de 2026: cómo impactan las obligaciones de las entidades financieras mexicanas según la LFPIORPI, la UIF, la CNBV y las circulares del SAT.

Leer
Cumplimiento14 min

Declaración activos virtuales México SAT CNBV 2026 CARF

LFPIORPI, Ley Fintech y CARF de la OCDE en México 2026: obligaciones de declaración ante SAT, UIF y CNBV para plataformas de activos virtuales.

Leer