En México, el 43% de las empresas han sufrido al menos un ciberataque en los últimos dos años, y el 63% de estos incidentes se consideraron graves, según un estudio de Kaspersky citado por López-Dóriga Digital.
Además, otro informe de SILIKN señala que el 52.8% de las Pymes han enfrentado ataques cibernéticos este año, mientras que el 99.7% teme ser objetivo en los próximos seis meses, según datos compartidos por World. Estos números reflejan la importancia de proteger la información y garantizar su integridad.
En México, la NOM-151-SCFI-2016 establece los lineamientos para la conservación de mensajes de datos, asegurando su autenticidad, integridad y confidencialidad.
En este artículo, te explicamos qué es esta norma, por qué se creó, qué cambios ha tenido y cómo puede ayudar a tu empresa en su proceso de digitalización. También hablaremos sobre la importancia de las firmas electrónicas y cómo cumplir con la NOM-151 para reforzar la ciberseguridad en tu organización.
La NOM-151-SCFI-2016, también conocida como Norma Oficial Mexicana 151, es una regulación emitida por la Secretaría de Economía que establece los requisitos para la conservación de mensajes de datos.
Estos mensajes pueden ser correos electrónicos, documentos digitales, facturas electrónicas, contratos digitales, entre otros. La norma busca garantizar que estos datos se conserven de manera íntegra, auténtica y confiable, para que tengan validez legal y puedan ser utilizados como evidencia en caso de ser necesario.
La NOM-151 surge como respuesta a la creciente digitalización de los procesos empresariales y la necesidad de contar con un marco legal que regule la conservación de la información digital. Antes de esta norma, muchas empresas enfrentaban incertidumbre sobre cómo manejar y almacenar sus mensajes de datos de manera segura y legal.
Esta norma proporciona un estándar claro para garantizar que los datos digitales sean confiables y cumplan con los requisitos legales en México. Además, busca fomentar la confianza en el uso de tecnologías de la información y comunicación (TIC), promoviendo la adopción de prácticas seguras en la gestión de datos digitales.
La última actualización de la NOM-151 se publicó el 10 de julio de 2022. Esta actualización refuerza los requisitos técnicos y legales para la conservación de mensajes de datos, incorporando estándares internacionales de seguridad y tecnologías avanzadas como las firmas electrónicas avanzadas, los sellos de tiempo y el cifrado de datos.
Además, se enfatiza la importancia de la trazabilidad y la auditoría de los mensajes de datos, asegurando que las empresas puedan demostrar el cumplimiento de la norma en caso de una revisión legal o fiscal.
Uno de los pilares fundamentales de la NOM-151 es garantizar que los mensajes de datos (como correos electrónicos, facturas electrónicas, contratos digitales, entre otros) sean confiables.
Pero, ¿qué significa que un mensaje de datos sea confiable? De acuerdo con la norma, un mensaje de datos es confiable cuando cumple con una serie de requisitos técnicos y legales que aseguran su integridad, autenticidad, confidencialidad, disponibilidad y trazabilidad.
Profundicemos en cada uno de estos 5 aspectos:
La integridad se refiere a la garantía de que el mensaje de datos no ha sido alterado o modificado desde su creación hasta su conservación. Para asegurar la integridad, la NOM-151 recomienda el uso de tecnologías como:
Huellas digitales (hash): Un hash es un valor único generado a partir de los datos originales. Si el mensaje se modifica, el hash cambiará, lo que permite detectar alteraciones.
Sellos de tiempo (timestamp): Un sello de tiempo certifica la fecha y hora exactas en que el mensaje fue creado o modificado, lo que ayuda a demostrar que no ha sido alterado después de ese momento.
Un ejemplo práctico podría ser si una empresa envía una factura electrónica, el hash de esa factura se genera al momento de su creación. Si alguien intenta modificar el monto o los detalles de la factura, el hash cambiará, alertando sobre la alteración.
La autenticidad garantiza que el mensaje de datos proviene de quien dice provenir y que no ha sido suplantado. Para lograr esto, la norma promueve el uso de:
Firmas electrónicas avanzadas (FEA): Las firmas electrónicas permiten identificar de manera única al emisor del mensaje. Una firma avanzada utiliza algoritmos criptográficos que aseguran que solo el titular de la firma pudo haberla generado.
Certificados digitales: Estos certificados, emitidos por una Autoridad Certificadora (AC), vinculan la identidad de una persona o entidad con una clave pública, lo que permite verificar la autenticidad del mensaje.
Por ejemplo un contrato digital firmado con una firma electrónica avanzada garantiza que el firmante es quien dice ser, y que el contrato no ha sido alterado después de la firma.
La confidencialidad asegura que el mensaje de datos solo sea accesible para las personas autorizadas. Para proteger la confidencialidad, la NOM-151 recomienda:
Cifrado de datos: El cifrado transforma el mensaje en un formato ilegible para quienes no tienen la clave de descifrado. Esto es especialmente importante cuando los mensajes se transmiten a través de redes no seguras.
Control de accesos: Implementar políticas de acceso que restrinjan quién puede ver, modificar o eliminar los mensajes de datos.
Pongamos un ejemplo: un correo electrónico que contiene información confidencial puede ser cifrado antes de su envío, asegurando que solo el destinatario autorizado pueda leerlo.
La disponibilidad se refiere a la capacidad de acceder al mensaje de datos en cualquier momento, durante el periodo de conservación establecido. Para garantizar la disponibilidad, la norma mexicana sugiere:
Sistemas de respaldo (backup): Realizar copias de seguridad periódicas de los mensajes de datos para prevenir su pérdida en caso de fallos técnicos o desastres.
Almacenamiento en la nube: Utilizar servicios de almacenamiento en la nube que ofrezcan alta disponibilidad y redundancia de datos.
Para poner un ejemplo pensemos en una empresa que conserva facturas electrónicas en un sistema de almacenamiento en la nube puede acceder a ellas en cualquier momento, incluso si su infraestructura local falla.
La trazabilidad permite rastrear el historial completo del mensaje de datos, incluyendo quién lo creó, modificó, accedió o eliminó. Para cumplir con este requisito, la norma recomienda:
Registros de auditoría (logs): Mantener registros detallados de todas las acciones realizadas sobre el mensaje de datos.
Sistemas de monitoreo: Implementar herramientas que alerten sobre actividades sospechosas o no autorizadas.
Por ejemplo si un empleado accede a un contrato digital, el sistema debe registrar la fecha, hora y nombre del usuario que realizó la acción, permitiendo su trazabilidad en caso de una auditoría.
La constancia de conservación de mensajes de datos es un documento emitido por las empresas o instituciones que acredita que los mensajes de datos (como correos electrónicos, facturas electrónicas, contratos digitales, entre otros) han sido conservados de acuerdo con los requisitos establecidos en la NOM-151.
Este documento es fundamental para demostrar el cumplimiento de la norma y garantizar que los mensajes de datos tienen validez legal en caso de ser requeridos en procedimientos judiciales, fiscales o administrativos.
De acuerdo con la norma mexicana 151, una constancia de conservación debe contener la siguiente información:
1. Identificación del mensaje de datos: Incluye detalles como el tipo de mensaje (factura, contrato, correo electrónico, etc.), su identificador único (número de folio, referencia, etc.) y la fecha de creación.
2. Periodo de conservación: Especifica el tiempo durante el cual el mensaje de datos ha sido conservado. Este periodo debe cumplir con los plazos legales establecidos (por ejemplo, 5 años para fines fiscales en México).
3. Medidas de seguridad implementadas: Describe las tecnologías y procedimientos utilizados para garantizar la integridad, autenticidad, confidencialidad y disponibilidad del mensaje de datos. Esto puede incluir:
4. Responsable de la conservación: Indica el nombre y cargo de la persona o área responsable de la conservación del mensaje de datos. Esto es importante para establecer la trazabilidad y responsabilidad en caso de una auditoría.
5. Fecha de emisión de la constancia: Especifica cuándo fue emitida la constancia, lo que permite verificar que el mensaje de datos ha sido conservado de manera continua y conforme a la norma.
La NOM-151 juega un papel clave en la digitalización de documentos, ya que establece los requisitos para garantizar la autenticidad, integridad y conservación de la información en formato electrónico. Estos son:
La norma no es solo un requisito legal en México, adoptarla no solo ayuda a cumplir con la normativa, sino que también fortalece la ciberseguridad, mejora la eficiencia operativa y aporta ventajas competitivas.
Aquí te contamos por qué es tan importante y cómo puede beneficiar a las organizaciones:
Uno de los mayores beneficios de la NOM-151 es que garantiza la validez legal de los mensajes de datos (como facturas electrónicas, contratos digitales, correos electrónicos, etc.). Al cumplir con los requisitos de la norma, las empresas pueden utilizar estos mensajes como evidencia en procedimientos judiciales, fiscales o administrativos, lo que reduce el riesgo de disputas legales y protege sus intereses.
La norma promueve la implementación de medidas de seguridad robustas, como el uso de firmas electrónicas avanzadas, sellos de tiempo, cifrado de datos y sistemas de auditoría. Estas tecnologías protegen los mensajes de datos contra accesos no autorizados, alteraciones y fraudes, fortaleciendo la integridad, autenticidad y confidencialidad de la información.
Al adoptar la NOM-151, las empresas pueden digitalizar sus procesos y documentos, eliminando la necesidad de almacenamiento físico y reduciendo costos asociados con papel, impresión y archivo. Además, la digitalización agiliza procesos administrativos, como la emisión de facturas electrónicas o la firma de contratos, lo que mejora la eficiencia operativa.
Cumplirla demuestra un compromiso con la seguridad de la información y la innovación tecnológica, lo que puede mejorar la reputación de la empresa ante clientes, socios comerciales y autoridades regulatorias. Además, las empresas que cumplen con la norma están mejor preparadas para competir en un mercado cada vez más digitalizado.
La NOM-151 exige la implementación de sistemas de trazabilidad que permiten rastrear el historial completo de los mensajes de datos, incluyendo quién los creó, modificó o accedió a ellos. Esto no solo facilita las auditorías internas y externas, sino que también promueve la transparencia en los procesos empresariales.
Es un aliado clave en la transformación digital de las empresas, ya que proporciona un marco legal para la adopción de tecnologías como las firmas electrónicas, los sellos de tiempo y el almacenamiento en la nube. Esto permite a las empresas modernizar sus operaciones y mantenerse al día con las tendencias tecnológicas.
Al cumplir con esta norma, las empresas minimizan el riesgo de sanciones o multas por incumplimiento de regulaciones fiscales o legales. Además, la norma ayuda a prevenir fraudes y alteraciones de datos, lo que reduce el riesgo de pérdidas financieras o daños a la reputación.
La ciberseguridad no es algo que podamos ignorar; es una necesidad urgente para proteger lo que más nos importa: nuestros negocios, equipos y clientes. Esta norma no solo nos ayuda a cumplir con las leyes, sino que también nos da las bases para mantener nuestros datos seguros, auténticos y confiables.
Además te permite ahorrar costos, agilizar procesos y, sobre todo, generar confianza en un mundo donde la información es oro. Implementarla no es solo una decisión inteligente, es un paso necesario para asegurar que nuestro negocio siga creciendo de manera segura y sostenible.
Con el software de Pirani puedes gestionar tus riesgos de ciberseguridad asociados a lo que dicta la norma mexicana 151 que revisamos en este blog. Accede a nuestro módulo de Seguridad de la Información desde nuestro plan Free, crea tu cuenta gratis hoy.
¿La NOM-151 reconoce documentos electrónicos internacionales?
Sí, la NOM-151 acepta documentos internacionales si cumplen con requisitos como autenticidad e integridad. Sin embargo, su validez en México dependerá de tratados y leyes locales.
¿Puedo usar la NOM-151 como prueba en un juicio?
Sí, los mensajes de datos y firmas electrónicas bajo NOM-151 tienen validez legal en México, siempre que cumplan con los requisitos de conservación y autenticidad.
¿Exige la NOM-151 software específico?
No exige un software en particular, pero los sistemas deben garantizar seguridad, integridad y conservación de datos según la norma (ej. firmas electrónicas avanzadas).