Crear cuenta gratis
Crear cuenta gratis
Crear cuenta gratis
Seguridad de la informacion

NOM-151: Claves sobre conservación de datos y ciberseguridad

Esteban Guarin
Por Esteban Guarin
9 min de lectura
Creado el:   marzo 25, 2025
NOM-151: Claves sobre conservación de datos y ciberseguridad
15:23

En México, el 43% de las empresas han sufrido al menos un ciberataque en los últimos dos años, y el 63% de estos incidentes se consideraron graves, según un estudio de Kaspersky citado por López-Dóriga Digital.

Además, otro informe de SILIKN señala que el 52.8% de las Pymes han enfrentado ataques cibernéticos este año, mientras que el 99.7% teme ser objetivo en los próximos seis meses, según datos compartidos por World. Estos números reflejan la importancia de proteger la información y garantizar su integridad.

nom-151-claves-sobre-conservacion-de-datos-y-ciberseguridad

En México, la NOM-151-SCFI-2016 establece los lineamientos para la conservación de mensajes de datos, asegurando su autenticidad, integridad y confidencialidad.

En este artículo, te explicamos qué es esta norma, por qué se creó, qué cambios ha tenido y cómo puede ayudar a tu empresa en su proceso de digitalización. También hablaremos sobre la importancia de las firmas electrónicas y cómo cumplir con la NOM-151 para reforzar la ciberseguridad en tu organización.

 

¿Qué es la NOM-151?

La NOM-151-SCFI-2016, también conocida como Norma Oficial Mexicana 151, es una regulación emitida por la Secretaría de Economía que establece los requisitos para la conservación de mensajes de datos.

Estos mensajes pueden ser correos electrónicos, documentos digitales, facturas electrónicas, contratos digitales, entre otros. La norma busca garantizar que estos datos se conserven de manera íntegra, auténtica y confiable, para que tengan validez legal y puedan ser utilizados como evidencia en caso de ser necesario.

Ebook-tendencias-de-ciberseguridad-en-latam

¿Por qué surge la NOM-151?

La NOM-151 surge como respuesta a la creciente digitalización de los procesos empresariales y la necesidad de contar con un marco legal que regule la conservación de la información digital. Antes de esta norma, muchas empresas enfrentaban incertidumbre sobre cómo manejar y almacenar sus mensajes de datos de manera segura y legal.

Esta norma proporciona un estándar claro para garantizar que los datos digitales sean confiables y cumplan con los requisitos legales en México. Además, busca fomentar la confianza en el uso de tecnologías de la información y comunicación (TIC), promoviendo la adopción de prácticas seguras en la gestión de datos digitales.

Última actualización de la NOM-151

La última actualización de la NOM-151 se publicó el 10 de julio de 2022. Esta actualización refuerza los requisitos técnicos y legales para la conservación de mensajes de datos, incorporando estándares internacionales de seguridad y tecnologías avanzadas como las firmas electrónicas avanzadas, los sellos de tiempo y el cifrado de datos.

Además, se enfatiza la importancia de la trazabilidad y la auditoría de los mensajes de datos, asegurando que las empresas puedan demostrar el cumplimiento de la norma en caso de una revisión legal o fiscal.

¿Cuándo un mensaje de datos es confiable?

Uno de los pilares fundamentales de la NOM-151 es garantizar que los mensajes de datos (como correos electrónicos, facturas electrónicas, contratos digitales, entre otros) sean confiables.

Pero, ¿qué significa que un mensaje de datos sea confiable? De acuerdo con la norma, un mensaje de datos es confiable cuando cumple con una serie de requisitos técnicos y legales que aseguran su integridad, autenticidad, confidencialidad, disponibilidad y trazabilidad.

Profundicemos en cada uno de estos 5 aspectos:

1. Integridad del mensaje de datos

La integridad se refiere a la garantía de que el mensaje de datos no ha sido alterado o modificado desde su creación hasta su conservación. Para asegurar la integridad, la NOM-151 recomienda el uso de tecnologías como:

  • Huellas digitales (hash): Un hash es un valor único generado a partir de los datos originales. Si el mensaje se modifica, el hash cambiará, lo que permite detectar alteraciones.

  • Sellos de tiempo (timestamp): Un sello de tiempo certifica la fecha y hora exactas en que el mensaje fue creado o modificado, lo que ayuda a demostrar que no ha sido alterado después de ese momento.

Un ejemplo práctico podría ser si una empresa envía una factura electrónica, el hash de esa factura se genera al momento de su creación. Si alguien intenta modificar el monto o los detalles de la factura, el hash cambiará, alertando sobre la alteración.

2. Autenticidad del mensaje de datos

La autenticidad garantiza que el mensaje de datos proviene de quien dice provenir y que no ha sido suplantado. Para lograr esto, la norma promueve el uso de:

  • Firmas electrónicas avanzadas (FEA): Las firmas electrónicas permiten identificar de manera única al emisor del mensaje. Una firma avanzada utiliza algoritmos criptográficos que aseguran que solo el titular de la firma pudo haberla generado.

  • Certificados digitales: Estos certificados, emitidos por una Autoridad Certificadora (AC), vinculan la identidad de una persona o entidad con una clave pública, lo que permite verificar la autenticidad del mensaje.

Por ejemplo un contrato digital firmado con una firma electrónica avanzada garantiza que el firmante es quien dice ser, y que el contrato no ha sido alterado después de la firma.

3. Confidencialidad del mensaje de datos

La confidencialidad asegura que el mensaje de datos solo sea accesible para las personas autorizadas. Para proteger la confidencialidad, la NOM-151 recomienda:

  • Cifrado de datos: El cifrado transforma el mensaje en un formato ilegible para quienes no tienen la clave de descifrado. Esto es especialmente importante cuando los mensajes se transmiten a través de redes no seguras.

  • Control de accesos: Implementar políticas de acceso que restrinjan quién puede ver, modificar o eliminar los mensajes de datos.

Pongamos un ejemplo: un correo electrónico que contiene información confidencial puede ser cifrado antes de su envío, asegurando que solo el destinatario autorizado pueda leerlo.

Nueva llamada a la acción

4. Disponibilidad del mensaje de datos

La disponibilidad se refiere a la capacidad de acceder al mensaje de datos en cualquier momento, durante el periodo de conservación establecido. Para garantizar la disponibilidad, la norma mexicana sugiere:

  • Sistemas de respaldo (backup): Realizar copias de seguridad periódicas de los mensajes de datos para prevenir su pérdida en caso de fallos técnicos o desastres.

  • Almacenamiento en la nube: Utilizar servicios de almacenamiento en la nube que ofrezcan alta disponibilidad y redundancia de datos.

Para poner un ejemplo pensemos en una empresa que conserva facturas electrónicas en un sistema de almacenamiento en la nube puede acceder a ellas en cualquier momento, incluso si su infraestructura local falla.

5. Trazabilidad del mensaje de datos

La trazabilidad permite rastrear el historial completo del mensaje de datos, incluyendo quién lo creó, modificó, accedió o eliminó. Para cumplir con este requisito, la norma recomienda:

  • Registros de auditoría (logs): Mantener registros detallados de todas las acciones realizadas sobre el mensaje de datos.

  • Sistemas de monitoreo: Implementar herramientas que alerten sobre actividades sospechosas o no autorizadas.

Por ejemplo si un empleado accede a un contrato digital, el sistema debe registrar la fecha, hora y nombre del usuario que realizó la acción, permitiendo su trazabilidad en caso de una auditoría.

Constancia de conservación de mensajes de datos

La constancia de conservación de mensajes de datos es un documento emitido por las empresas o instituciones que acredita que los mensajes de datos (como correos electrónicos, facturas electrónicas, contratos digitales, entre otros) han sido conservados de acuerdo con los requisitos establecidos en la NOM-151. 

Este documento es fundamental para demostrar el cumplimiento de la norma y garantizar que los mensajes de datos tienen validez legal en caso de ser requeridos en procedimientos judiciales, fiscales o administrativos.

¿Qué debe incluir una constancia de conservación?

De acuerdo con la norma mexicana 151, una constancia de conservación debe contener la siguiente información:

1. Identificación del mensaje de datos: Incluye detalles como el tipo de mensaje (factura, contrato, correo electrónico, etc.), su identificador único (número de folio, referencia, etc.) y la fecha de creación.

2. Periodo de conservación: Especifica el tiempo durante el cual el mensaje de datos ha sido conservado. Este periodo debe cumplir con los plazos legales establecidos (por ejemplo, 5 años para fines fiscales en México).

3. Medidas de seguridad implementadas: Describe las tecnologías y procedimientos utilizados para garantizar la integridad, autenticidad, confidencialidad y disponibilidad del mensaje de datos. Esto puede incluir:

  • Uso de firmas electrónicas avanzadas.
  • Implementación de sellos de tiempo.
  • Aplicación de cifrado de datos.
  • Sistemas de respaldo (backup) y recuperación de datos.

4. Responsable de la conservación: Indica el nombre y cargo de la persona o área responsable de la conservación del mensaje de datos. Esto es importante para establecer la trazabilidad y responsabilidad en caso de una auditoría.

5. Fecha de emisión de la constancia: Especifica cuándo fue emitida la constancia, lo que permite verificar que el mensaje de datos ha sido conservado de manera continua y conforme a la norma.

¿Cómo se relaciona la NOM-151 con la digitalización de documentos?

La NOM-151  juega un papel clave en la digitalización de documentos, ya que establece los requisitos para garantizar la autenticidad, integridad y conservación de la información en formato electrónico. Estos son:

relacion-de-nom-151-con-la-digitalizacion-de-documentos


Beneficios de la NOM-151 para las empresas

La norma  no es solo un requisito legal en México, adoptarla no solo ayuda a cumplir con la normativa, sino que también fortalece la ciberseguridad, mejora la eficiencia operativa y aporta ventajas competitivas. 

Aquí te contamos por qué es tan importante y cómo puede beneficiar a las organizaciones:

1. Validez legal de los mensajes de datos

Uno de los mayores beneficios de la NOM-151 es que garantiza la validez legal de los mensajes de datos (como facturas electrónicas, contratos digitales, correos electrónicos, etc.). Al cumplir con los requisitos de la norma, las empresas pueden utilizar estos mensajes como evidencia en procedimientos judiciales, fiscales o administrativos, lo que reduce el riesgo de disputas legales y protege sus intereses.

2. Fortalecimiento de la ciberseguridad

La norma promueve la implementación de medidas de seguridad robustas, como el uso de firmas electrónicas avanzadas, sellos de tiempo, cifrado de datos y sistemas de auditoría. Estas tecnologías protegen los mensajes de datos contra accesos no autorizados, alteraciones y fraudes, fortaleciendo la integridad, autenticidad y confidencialidad de la información.

3. Eficiencia operativa y reducción de costos

Al adoptar la NOM-151, las empresas pueden digitalizar sus procesos y documentos, eliminando la necesidad de almacenamiento físico y reduciendo costos asociados con papel, impresión y archivo. Además, la digitalización agiliza procesos administrativos, como la emisión de facturas electrónicas o la firma de contratos, lo que mejora la eficiencia operativa.

4. Competitividad y reputación

Cumplirla demuestra un compromiso con la seguridad de la información y la innovación tecnológica, lo que puede mejorar la reputación de la empresa ante clientes, socios comerciales y autoridades regulatorias. Además, las empresas que cumplen con la norma están mejor preparadas para competir en un mercado cada vez más digitalizado.

5. Trazabilidad y transparencia

La NOM-151 exige la implementación de sistemas de trazabilidad que permiten rastrear el historial completo de los mensajes de datos, incluyendo quién los creó, modificó o accedió a ellos. Esto no solo facilita las auditorías internas y externas, sino que también promueve la transparencia en los procesos empresariales.

6. Adaptación a la transformación digital

Es un aliado clave en la transformación digital de las empresas, ya que proporciona un marco legal para la adopción de tecnologías como las firmas electrónicas, los sellos de tiempo y el almacenamiento en la nube. Esto permite a las empresas modernizar sus operaciones y mantenerse al día con las tendencias tecnológicas.

7. Reducción de riesgos legales y fiscales

Al cumplir con esta norma, las empresas minimizan el riesgo de sanciones o multas por incumplimiento de regulaciones fiscales o legales. Además, la norma ayuda a prevenir fraudes y alteraciones de datos, lo que reduce el riesgo de pérdidas financieras o daños a la reputación.

La ciberseguridad no es algo que podamos ignorar; es una necesidad urgente para proteger lo que más nos importa: nuestros negocios, equipos y clientes. Esta norma no solo nos ayuda a cumplir con las leyes, sino que también nos da las bases para mantener nuestros datos seguros, auténticos y confiables.

Además te permite ahorrar costos, agilizar procesos y, sobre todo, generar confianza en un mundo donde la información es oro. Implementarla no es solo una decisión inteligente, es un paso necesario para asegurar que nuestro negocio siga creciendo de manera segura y sostenible.

 

Con el software de Pirani puedes gestionar tus riesgos de ciberseguridad asociados a lo que dicta la norma mexicana 151 que revisamos en este blog.  Accede a nuestro módulo de Seguridad de la Información desde nuestro plan Free, crea tu cuenta gratis hoy.

Preguntas frecuentes

¿La NOM-151 reconoce documentos electrónicos internacionales?
Sí, la NOM-151 acepta documentos internacionales si cumplen con requisitos como autenticidad e integridad. Sin embargo, su validez en México dependerá de tratados y leyes locales.

¿Puedo usar la NOM-151 como prueba en un juicio?
Sí, los mensajes de datos y firmas electrónicas bajo NOM-151 tienen validez legal en México, siempre que cumplan con los requisitos de conservación y autenticidad.

¿Exige la NOM-151 software específico?
No exige un software en particular, pero los sistemas deben garantizar seguridad, integridad y conservación de datos según la norma (ej. firmas electrónicas avanzadas).

Nueva llamada a la acción
Temas: Seguridad de la informacion

¿A qué correo te mandamos el Estudio de Riesgos 2025?
Artículo anterior
← 5 reportes esenciales en gestión de riesgos y cómo optimizarlos
Conoce la ISO/IEC 27701 de gestión de privacidad de la información
iso-27701-privacidad-de-la-informacion
Seguridad de la informacion

Conoce la ISO/IEC 27701 de gestión de privacidad de la información

febrero 22, 2024 4 min de lectura
MAGERIT: gestión de riesgos de Seguridad de la Información
metodologia-magerit-gestion-riesgos-sistemas-de-informacion
Seguridad de la informacion

MAGERIT: gestión de riesgos de Seguridad de la Información

julio 06, 2023 5 min de lectura
Declaración de aplicabilidad de la norma ISO/IEC 27001
soa-declaracion-aplicabilidad-iso-27001

Declaración de aplicabilidad de la norma ISO/IEC 27001

mayo 10, 2023 3 min de lectura
Gestión de la seguridad de la información en Ecuador según Superbancos
seguridad-informacion-ecuador-superbancos
Seguridad de la informacion

Gestión de la seguridad de la información en Ecuador según Superbancos

septiembre 07, 2022 4 min de lectura
Gestiona los activos de información y sus riesgos
gestion-activos-informacion-y-riesgos-norma-ISO-27001
Seguridad de la informacion

Gestiona los activos de información y sus riesgos

febrero 02, 2023 4 min de lectura
¿Cómo gestionar riesgos con la metodología ISO 27005?
¿Cómo gestionar riesgos con la metodología ISO 27005?
Seguridad de la informacion

¿Cómo gestionar riesgos con la metodología ISO 27005?

marzo 17, 2025 9 min de lectura

Aún no hay comentarios

Danos tu opinión