La NOM-151-SCFI-2016 es la Norma Oficial Mexicana que establece los requisitos para conservar mensajes de datos y digitalizar documentos con validez legal en México. Cualquier empresa que firme contratos, gestione expedientes o almacene información comercial en formato digital tiene exposición directa a esta norma.
El problema es que muchas organizaciones cumplen con la parte documental, pero descuidan la capa de seguridad que protege esos registros de alteraciones, accesos no autorizados o pérdida. Un Centro de Operaciones de Seguridad (SOC) cierra esa brecha: monitorea, detecta y responde ante cualquier evento que pueda comprometer la integridad de los documentos electrónicos que tu empresa necesita conservar por al menos 10 años.
En este artículo te explicamos cómo la operación de un SOC se alinea con los requisitos de la NOM-151 y por qué esta combinación fortalece tanto tu postura de ciberseguridad como tu cumplimiento normativo.
La NOM-151-SCFI-2016 nace del artículo 49 del Código de Comercio de México. Este artículo obliga a los comerciantes a conservar durante un mínimo de 10 años los originales de contratos, convenios y cualquier documento que genere derechos y obligaciones. Cuando esos documentos existen en formato electrónico, la NOM-151 define cómo garantizar que se mantengan íntegros, auténticos y accesibles durante todo ese periodo.
El mecanismo central de la norma es la constancia de conservación. Se trata de un sello digital emitido por un Prestador de Servicios de Certificación (PSC) acreditado por la Secretaría de Economía. Esta constancia prueba que un documento electrónico existía en un momento determinado y que no ha sido modificado desde entonces. Esto le otorga al documento valor probatorio ante tribunales, auditorías del SAT y procesos de fiscalización.
La norma aplica a personas físicas con actividad empresarial, personas morales de cualquier tamaño, entidades del sector financiero regulado y organismos que realicen operaciones de comercio. En la práctica, si tu organización maneja contratos electrónicos, facturas digitales o expedientes de clientes, la NOM-151 es un marco que debes cumplir.
Cumplir con la NOM-151 resuelve el aspecto jurídico de la conservación. Sin embargo, la norma no aborda de forma directa las amenazas operativas que pueden comprometer esos registros antes, durante o después de que se emita la constancia de conservación.
Piensa en los siguientes escenarios: un acceso no autorizado a tu sistema de gestión documental, una exfiltración de datos que expone contratos confidenciales, un ataque de ransomware que cifra tu repositorio de documentos electrónicos. En cualquiera de estos casos, la constancia de conservación no evita el incidente. Solo certifica que el documento era íntegro en un momento previo.
Este vacío es donde un SOC (Centro de Operaciones de Seguridad) aporta valor real. No reemplaza al PSC ni a la constancia de conservación. Complementa la norma con una capa de monitoreo continuo, detección de amenazas y respuesta a incidentes que protege la infraestructura donde residen tus documentos electrónicos.
Un SOC opera sobre logs de eventos, metadatos de red y patrones de comportamiento de usuarios y sistemas. Esta capacidad se conecta directamente con tres pilares de la NOM-151: integridad, autenticidad y accesibilidad de los mensajes de datos.
El SOC supervisa en tiempo real los sistemas donde se almacenan los documentos electrónicos. Herramientas como un SIEM (sistema que centraliza logs de múltiples fuentes para correlacionar eventos y generar alertas de seguridad) y FIM (monitoreo de integridad de archivos, que detecta cualquier cambio no autorizado en archivos críticos) identifican modificaciones sospechosas en los repositorios documentales. Si alguien altera un archivo o cambia permisos de acceso sin justificación, el SOC genera una alerta y activa el protocolo de respuesta correspondiente.
Esta vigilancia continua refuerza el requisito de la NOM-151 de que los mensajes de datos permanezcan completos e inalterados desde su generación. No sustituye la constancia del PSC, pero agrega una capa de control operativo que reduce el riesgo de que un documento sea comprometido antes de su certificación o durante su periodo de conservación.
La NOM-151 exige que los documentos sean auténticos: que provengan de quien dice ser su emisor. Un SOC contribuye a esta autenticidad mediante el monitoreo de los controles de acceso. Supervisa quién accede a los sistemas documentales, desde qué dispositivo, a qué hora y con qué nivel de privilegios.
Si un analista del SOC detecta un intento de acceso con credenciales comprometidas o un patrón de comportamiento anómalo (por ejemplo, un usuario accediendo a contratos fuera de su horario habitual), puede contener la amenaza antes de que se produzca una alteración o una filtración. Este tipo de detección basada en comportamiento de usuarios se conoce como UBA/UEBA (análisis de comportamiento de usuarios y entidades, que permite identificar actividades sospechosas incluso cuando las credenciales son legítimas). Para entender la diferencia entre las herramientas y la operación de seguridad, puedes consultar qué implica contratar un SOC as a Service y cómo se distingue de solo tener un SIEM.
Uno de los aspectos menos visibles pero más valiosos de un SOC es la generación de registros de auditoría. Cada evento detectado, cada alerta procesada y cada acción de respuesta queda documentada con marca de tiempo. Esta cadena de evidencia es útil en dos contextos: auditorías de cumplimiento normativo y procesos judiciales.
Si tu empresa enfrenta una auditoría del SAT o un litigio donde necesita demostrar que sus documentos electrónicos fueron conservados de forma íntegra, la constancia NOM-151 cubre la dimensión jurídica. Los logs del SOC cubren la dimensión operativa: prueban que durante el periodo de conservación existieron controles activos de seguridad que protegieron esos registros contra amenazas internas y externas. Esta capacidad de correlación y generación de informes es precisamente el rol que cumple un SIEM dentro de un SOC.
Si bien la NOM-151 aplica a todos los comerciantes en los términos del Código de Comercio, algunos sectores tienen una exposición más alta por el volumen y la sensibilidad de sus registros electrónicos.
Las instituciones financieras en México operan bajo regulaciones de la Comisión Nacional Bancaria y de Valores (CNBV) que exigen controles estrictos sobre la conservación y seguridad de la información. La combinación de NOM-151 con un SOC permite cumplir tanto con los requisitos de conservación documental como con las exigencias de monitoreo continuo de seguridad en entornos financieros.
Organizaciones que firman cientos o miles de contratos electrónicos al mes necesitan garantizar que cada documento sea íntegro y accesible durante 10 años. Sin un SOC que vigile la infraestructura donde residen esos contratos, el riesgo de un incidente de seguridad que comprometa la validez de miles de documentos es real y costoso.
La norma ISO 27001 exige controles de seguridad sobre los activos de información, incluyendo documentos electrónicos. Un SOC aporta evidencia continua del funcionamiento de esos controles, lo que facilita tanto la certificación como las auditorías de seguimiento. Para conocer cómo un SOC respalda el cumplimiento normativo en múltiples marcos regulatorios, consulta nuestra guía sobre el tema.
TecnetSOC es nuestro Centro de Operaciones de Seguridad. Opera como un servicio que combina analistas especializados en ciberseguridad, herramientas de clase empresarial (SIEM, EDR, XDR, SOAR) e inteligencia de amenazas actualizada para monitorear, detectar y responder a incidentes de seguridad en la infraestructura de sus clientes.
El enfoque de TecnetSOC hacia el cumplimiento normativo se basa en un modelo de responsabilidad compartida. No reemplaza al equipo de TI ni al área jurídica de tu empresa. Se integra como un partner estratégico que aporta capacidad operativa de seguridad sobre los activos que requieren protección normativa.
La metodología incluye tres componentes:
Primero, la definición de alcance. Se identifican los sistemas, repositorios y flujos documentales que están sujetos a la NOM-151 u otras regulaciones aplicables. Esto permite enfocar el monitoreo del SOC en los activos que requieren protección normativa, sin dispersar recursos en fuentes de bajo riesgo.
Segundo, la correlación de eventos con reglas de cumplimiento. El SIEM de TecnetSOC se configura con reglas específicas que generan alertas cuando se detectan acciones que podrían comprometer la integridad de los registros electrónicos: modificaciones no autorizadas, accesos fuera de patrón, intentos de exfiltración o eliminación de archivos. Si quieres entender cómo funciona este proceso de análisis de incidentes dentro de un SOC, tenemos un artículo que lo detalla paso a paso.
Tercero, la generación de evidencia. TecnetSOC produce reportes periódicos que documentan los controles activos, los incidentes detectados y las acciones de respuesta. Esta evidencia es utilizable en auditorías formales de cumplimiento, tanto para la NOM-151 como para marcos adicionales como ISO 27001, PCI-DSS o NIST CSF.
¿Un SOC puede sustituir a la constancia de conservación de la NOM-151? No. La constancia de conservación es un sello digital emitido por un PSC acreditado por la Secretaría de Economía, y es el único mecanismo que otorga valor probatorio al documento electrónico bajo la NOM-151. El SOC complementa esa constancia al proteger la infraestructura donde se almacenan los documentos, pero no reemplaza el cumplimiento formal de la norma.
¿Qué pasa si un ataque compromete documentos electrónicos que ya tienen constancia NOM-151? La constancia prueba que el documento era íntegro en el momento de su emisión. Si un ataque posterior altera el archivo, la constancia sigue siendo válida como referencia del estado original. Sin embargo, el daño operativo y reputacional ya está hecho. Un SOC reduce ese riesgo al detectar y contener amenazas antes de que logren modificar o destruir los registros protegidos.
¿El SOC de TecnetOne genera evidencia utilizable en auditorías del SAT? TecnetSOC genera logs con marca de tiempo, reportes de incidentes y documentación de controles activos. Esta evidencia complementa la constancia NOM-151 y puede presentarse como soporte adicional en auditorías fiscales para demostrar que los registros electrónicos estuvieron protegidos durante su periodo de conservación.
¿Mi empresa necesita un SOC si ya cumple con la NOM-151? Cumplir con la NOM-151 garantiza el valor jurídico del documento. Pero si la infraestructura donde residen esos documentos no cuenta con monitoreo de seguridad, estás expuesto a incidentes que pueden comprometer miles de registros. El SOC aporta la capa de prevención y respuesta que la norma por sí sola no proporciona.
¿Cuánto tiempo deben conservarse los documentos electrónicos bajo la NOM-151? El artículo 49 del Código de Comercio establece un plazo mínimo de 10 años para conservar documentos mercantiles. Algunos sectores regulados, como el financiero o el de salud, pueden requerir periodos mayores. La constancia de conservación puede refrendarse al vencimiento del periodo criptográfico para extender su validez.