Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento10 min de lectura

Know Your Supplier (KYS): verificación de proveedores y cumplimiento en México

Guía KYS para empresas mexicanas: LFPIORPI, UIF, CNBV, SAT, EFOS y due diligence de proveedores en el marco regulatorio mexicano de 2026.

El equipo CheckFile
El equipo CheckFile·
Illustration for Know Your Supplier (KYS): verificación de proveedores y cumplimiento en México — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

El Know Your Supplier (KYS) agrupa los procedimientos de diligencia debida que una empresa aplica a sus proveedores, contratistas y socios de la cadena de suministro antes y durante una relación comercial. En México, el marco normativo está definido por la LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), las reglas de la CNBV (Comisión Nacional Bancaria y de Valores), las disposiciones del SAT (Servicio de Administración Tributaria) sobre proveedores EFOS, y la Ley Anticorrupción (Ley General del Sistema Nacional Anticorrupción, 2016).

El fraude del falso proveedor es uno de los delitos empresariales de mayor crecimiento en México. El IMSS e INCIBE México documentan patrones de suplantación de proveedores que aprovechan la ingeniería social y el spear phishing para desviar pagos. Un programa KYS estructurado es una de las medidas preventivas más eficaces.

Marco regulatorio mexicano del KYS

Un programa KYS eficaz en México aborda tres dimensiones de riesgo: la identidad legal del proveedor (RFC, acta constitutiva ante el Registro Público de Comercio, beneficiarios controladores), la solidez financiera (estados financieros, constancia de situación fiscal, ausencia en listas negras del SAT) y la reputación regulatoria (listas de sanciones, OFAC, medios negativos, personas políticamente expuestas).

La LFPIORPI designa como "actividades vulnerables" una amplia gama de transacciones comerciales — incluyendo la compraventa de inmuebles, la transmisión de derechos sobre vehículos, los juegos con apuesta, y diversas operaciones financieras — que obligan a los prestadores de servicios involucrados a identificar a sus clientes y, en su caso, a los beneficiarios controladores de estos. La UIF (Unidad de Inteligencia Financiera) supervisa el cumplimiento. Las sanciones para actividades vulnerables oscilan entre 200 y 2,000 veces el valor de la Unidad de Medida y Actualización (UMA) diaria, o la suspensión de la actividad.

El SAT (Servicio de Administración Tributaria) mantiene el listado de Empresas que Facturan Operaciones Simuladas (EFOS) bajo el artículo 69-B del Código Fiscal de la Federación (CFF). Operar con un proveedor incluido en la lista EFOS puede resultar en el rechazo de las deducciones fiscales y en responsabilidad tributaria solidaria para el comprador. La lista EFOS se actualiza mensualmente y es de acceso público en sat.gob.mx.

Normativa Aplicación Obligación KYS principal
LFPIORPI (2012) Actividades vulnerables (inmuebles, vehículos, juegos, servicios financieros) Identificación y verificación de clientes y terceros
CFF Art. 69-B (EFOS) Todas las empresas con proveedores mexicanos Verificación en lista EFOS antes de cada facturación
Ley Anticorrupción (LGSNA, 2016) Entidades públicas y sus contratistas Due diligence anticorrupción en proveedores de gobierno
LFPDPPP Empresas que tratan datos personales de proveedores Protección de datos personales en proceso KYS

Las 5 etapas de un proceso KYS eficaz en México

Etapa 1 — Recopilación documental. Antes de cualquier pedido o vínculo contractual, solicite sistemáticamente: RFC activo con verificación en el Portal del SAT (sat.gob.mx), acta constitutiva inscrita en el Registro Público de Comercio estatal, la Constancia de Situación Fiscal vigente (con sello del SAT), poderes notariales de los representantes legales, y datos bancarios acompañados de constancia bancaria oficial (CLABE interbancaria).

Etapa 2 — Verificación de datos legales. Confirme el RFC en el SAT y verifique la autenticidad de la Constancia de Situación Fiscal mediante el código QR incluido. Consulte el Registro Público de Comercio (RPC) del estado sede para verificar la vigencia de los poderes. Consulte obligatoriamente la lista EFOS del SAT (artículo 69-B del CFF) y, si aplica, el Registro de Proveedores Sancionados (REPSE) de la STPS para proveedores de servicios especializados o subcontratación.

Etapa 3 — Cribado de sanciones y PEPs. El screening debe cubrir las listas de la ONU, la lista SDN de OFAC (para operaciones en dólares), las listas de la UE y la lista de personas políticamente expuestas (PEPs) actualizada por la UIF. Para entidades de crédito, el cribado de PEPs es obligatorio conforme a las Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito emitidas por la CNBV.

Etapa 4 — Análisis ESG y medios negativos. Incluya búsquedas estructuradas de medios negativos (corrupción, violaciones laborales e incidentes ambientales) y, para proveedores de mayor riesgo, un cuestionario de debida diligencia anticorrupción alineado con el estándar ISO 37001 (Sistemas de Gestión Antisoborno). Las empresas que licitan con el gobierno federal deben verificar que el proveedor no figura en el Directorio de Proveedores Sancionados del SFP.

Etapa 5 — Monitoreo continuo. Configure alertas sobre actualizaciones de la lista EFOS (mensual), variaciones en el Registro Público de Comercio, cambios de administradores en el acta constitutiva y actualizaciones de listas de sanciones. Cualquier solicitud de cambio de CLABE o datos bancarios debe activar un protocolo de verificación independiente: es el punto de mayor vulnerabilidad a la fraude del falso proveedor.

El fraude del falso proveedor en México: el riesgo más subestimado

En foros de tesorería corporativa y compliance en México, la pregunta recurrente es: "¿Cómo validamos un cambio de CLABE de un proveedor sin riesgo de transferir a un defraudador?"

Los casos documentados por el INCIBE México muestran un patrón consistente: los defraudadores estudian el directorio de la empresa, identifican proveedores habituales de alto volumen, y envían un correo electrónico desde un dominio que imita al del proveedor legítimo — con una diferencia tipográfica imperceptible — solicitando urgentemente la actualización de la CLABE antes de una liquidación importante.

Tres controles operacionales previenen la mayoría de estos fraudes:

  1. Llamada de confirmación obligatoria. Ante cualquier solicitud de cambio bancario por correo electrónico, llame al número registrado en su ERP — nunca al número proporcionado en el correo.
  2. Doble autorización. Cualquier modificación bancaria requiere aprobación de dos personas distintas, incluyendo un responsable del área financiera.
  3. Verificación automatizada de CLABE. Utilice un servicio de verificación documental automatizada que cruce la titularidad de la cuenta con los datos del RFC y el acta constitutiva. CheckFile soporta más de 3.200 tipos de documentos en 32 jurisdicciones, incluyendo los documentos empresariales mexicanos (acta constitutiva, constancia fiscal, INE representante legal).

Para más información sobre la detección de documentos falsificados, consulte nuestro artículo sobre técnicas de detección de fraude documental con IA.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

La lista EFOS del SAT: el control más crítico del KYS mexicano

El artículo 69-B del CFF establece que cuando el SAT detecta que un contribuyente emite facturas por operaciones inexistentes, lo incluye en la lista definitiva de EFOS. Cualquier empresa que haya deducido o acreditado operaciones con un EFOS definitivo puede perder esas deducciones y créditos fiscales, con posibilidad de responsabilidad solidaria.

Las consecuencias prácticas para el proceso KYS son claras:

  • Consultar la lista EFOS antes de cada primera facturación con un proveedor nuevo.
  • Configurar alertas mensuales automáticas para verificar si algún proveedor activo ingresó a la lista.
  • Documentar en el expediente del proveedor la fecha de cada consulta realizada.

Adicionalmente, el REPSE (Registro de Prestadores de Servicios Especializados u Obras Especializadas), implementado en 2021 tras la reforma a la subcontratación (reforma a la LISR, LFT e IMSS), exige que los proveedores de servicios especializados estén registrados ante la STPS. Contratar con un proveedor no inscrito en el REPSE cuando se requiere (reforma al artículo 15-A de la LFT) expone a la empresa contratante a contingencias del IMSS, INFONAVIT y SAT.

KYS, KYC y KYB en el contexto mexicano

  • KYC: Obligatorio para entidades financieras bajo la LFPIORPI y las disposiciones de la CNBV. Cubre identificación de clientes, beneficiarios controladores y reportes de operaciones inusuales a la UIF.
  • KYB: Aplicado al onboarding de clientes empresariales para verificar existencia legal, RFC, poderes y situación regulatoria. Consulte nuestra guía KYB.
  • KYS: Aplicado a proveedores y subcontratistas; cubre riesgo de cadena de suministro, compliance anticorrupción y obligaciones EFOS/REPSE. No se limita a sectores regulados.

Construcción y conservación del expediente KYS en México

La LFPIORPI (artículo 18) establece para los sujetos obligados un plazo de conservación de cinco años para la información y documentos relativos a sus actividades vulnerables. Para las demás empresas, la recomendación es conservar el expediente KYS durante la vigencia del contrato más cinco años adicionales, conforme al plazo general de prescripción del Código Fiscal de la Federación.

El expediente KYS debe incluir:

  • Documentos recopilados con fecha de verificación y consulta EFOS
  • Resultados de cribados de sanciones y medios negativos
  • RFC e identidad de quienes realizaron y validaron cada verificación
  • Historial de cambios bancarios con evidencia de verificación asociada
  • Constancia de inscripción en REPSE cuando aplique

La CheckFile almacena todos los registros de verificación en una pista de auditoría con integridad garantizada, conforme a ISO 27001. Consulte los planes de precios para flujos de verificación de proveedores adaptados al contexto mexicano.

Preguntas frecuentes

¿Es obligatorio el KYS para todas las empresas mexicanas?

La LFPIORPI impone obligaciones directas a quienes realicen actividades vulnerables. Para el resto de empresas, el artículo 69-B del CFF hace obligatoria la verificación EFOS para evitar contingencias fiscales. Las empresas que licitan con el gobierno federal tienen además la obligación de verificar el Registro de Proveedores Sancionados del SFP.

¿Cómo verifico los beneficiarios controladores de un proveedor en México?

La reforma fiscal 2022 (artículo 32-B Ter del CFF) impone a personas morales la obligación de identificar, obtener y conservar la información sobre sus beneficiarios controladores — aquellas personas físicas que directa o indirectamente controlan el 25% o más de la compañía o su gestión. Las instituciones financieras sujetas a la CNBV deben verificar esta información en el proceso de debida diligencia.

¿Qué diferencia hay entre homologación y KYS en México?

La homologación evalúa capacidad técnica, calidad y condiciones comerciales. El KYS se centra en identidad legal, RFC, EFOS, REPSE (cuando aplique), listas de sanciones y riesgos regulatorios. Ambos pueden integrarse en un proceso unificado de gestión de proveedores, pero abordan dimensiones distintas.

¿Con qué frecuencia renovar la verificación KYS en México?

Al menos una vez al año para todos los proveedores activos, y de forma inmediata ante cualquier evento: cambio de representante legal, modificación de datos bancarios (CLABE), renovación contractual o inclusión en la lista EFOS. La lista EFOS se actualiza mensualmente, por lo que la consulta manual periódica o la configuración de alertas automáticas es esencial.

¿Qué hacer si un proveedor figura en la lista EFOS del SAT?

En cuanto al aspecto fiscal, suspenda de inmediato la emisión o aceptación de comprobantes de ese proveedor y analice con su contador o abogado fiscal la situación de las deducciones previas. En cuanto al aspecto contractual, notifique al proveedor y evalúe si procede la rescisión del contrato según las cláusulas de compliance pactadas. Si existe indicio de simulación de operaciones, presente denuncia ante la UIF conforme a la LFPIORPI.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Las obligaciones legales varían según el tamaño de la empresa, el sector y la naturaleza de las relaciones comerciales. Consulte a un asesor jurídico especializado en derecho fiscal y corporativo mexicano para un análisis adaptado a su situación.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento9 min

Cumplimiento AML para gestores de patrimonio y asesores en México 2026

Guía completa de obligaciones PLD/FT para gestores de patrimonio, asesores de inversión y family offices en México 2026: KYC, UIF, CNBV, LFPIORPI, INE/RFC y automatización documental.

Leer
Cumplimiento8 min

Protección de denunciantes en México: cumplimiento y documentación 2026

Obligaciones documentales para programas de integridad y protección de denunciantes en México: Sistema Nacional Anticorrupción, LFPIORPI, UIF y SESNA. Guía para empresas mexicanas.

Leer
Cumplimiento8 min

Avisos de Operaciones a la UIF: Guía LFPIORPI para Empresas en México 2026

Cómo presentar avisos de operaciones relevantes, inusuales e internas preocupantes a la UIF en México: LFPIORPI, SAT, CNBV, portal OIRPI, plazos y sanciones 2026.

Leer