En 2019 Pemex descubrió un mensaje en rojo en sus pantallas exigiendo cinco millones de dólares en bitcoins. Era un ataque del ransomware DoppelPaymer y, aunque la petrolera reportó que solo se vio afectado el 5 % de sus equipos, ese pequeño porcentaje equivalía a cerca de diez mil dispositivos comprometidos y a información sensible filtrada en la deep web: planos de infraestructura, datos de clientes, datos de empleados, documentos corporativos. Lo que parecía un incidente aislado fue, en realidad, el primer aviso de una tendencia: entre 2022 y 2023 los intentos de ciberataque contra Pemex se triplicaron y alcanzaron 1,904 millones, un crecimiento del 236 % respecto al bienio anterior.
Si la empresa pública más grande del país enfrenta esa magnitud de amenaza, ¿qué puede esperarse para el resto de la cadena de hidrocarburos y petrolíferos en México? La respuesta corta es que la información que generan tus controles volumétricos —volúmenes, dictámenes, certificados, CFDI y datos personales de clientes y proveedores— vale mucho, para los atacantes, tanto como el combustible mismo. Y aquí es donde una norma internacional poco conocida fuera del mundo técnico se vuelve relevante para cualquier permisionario: la ISO/IEC 27001.
Qué son las normas ISO y por qué importan
Para explicarlo de una forma directa, las normas ISO son acuerdos voluntarios, desarrollados por la Organización Internacional de Normalización (International Organization for Standardization, por sus siglas en inglés), que establecen cómo hacer bien las cosas en un campo determinado. Existen normas para gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), seguridad y salud en el trabajo (ISO 45001) y muchas otras. Cuando una empresa se certifica en una norma ISO, no es que haya pagado por un sello: significa que un organismo externo e independiente auditó sus procesos y verificó que cumplen con los requisitos del estándar, y que ese cumplimiento se mantiene mediante auditorías periódicas.
La importancia de las normas ISO está en que ofrecen un lenguaje común. Cuando una empresa mexicana le dice a un cliente alemán que está certificada en ISO 9001, ambos saben exactamente lo que eso implica, sin importar el idioma o la legislación local. Esto reduce fricción, eleva la confianza y permite que las cadenas de valor globales funcionen con criterios homogéneos. En sectores altamente regulados —como el energético— la certificación se convierte en algo más que reputación: es un mecanismo para demostrar que la empresa opera con rigor sistémico y no de forma reactiva.
ISO 27001: cómo y por qué surge
La historia de la ISO/IEC 27001 comienza en 1995, cuando el British Standards Institution (BSI) publicó la norma BS 7799-1, un código de buenas prácticas para la seguridad de la información elaborado por encargo del Departamento de Comercio e Industria del Reino Unido. La motivación era clara: en plena expansión de las tecnologías de la información, las organizaciones manejaban datos cada vez más sensibles sin un marco común para protegerlos. En 1998 se publicó la segunda parte, BS 7799-2, que introdujo el concepto de Sistema de Gestión de Seguridad de la Información (SGSI) certificable: ya no era solo una guía, sino un esquema auditable.
El salto a estándar internacional ocurrió en dos fases. En el año 2000 la primera parte se adoptó como ISO/IEC 17799 (luego renombrada como ISO/IEC 27002 en 2007). En octubre de 2005 la parte certificable —BS 7799-2— se convirtió en ISO/IEC 27001:2005, la primera versión internacional del estándar. Las revisiones siguieron en 2013 y, más recientemente, en octubre de 2022. La versión vigente, ISO/IEC 27001:2022, contiene 93 controles organizados en cuatro temas (organización, personas, infraestructura física y tecnología) y refleja amenazas modernas que no existían cuando se redactó la versión anterior: ataques a cadenas de suministro, computación en la nube, privacidad de datos, regulaciones como el RGPD europeo.
El objetivo de la certificación ISO 27001
El propósito central de ISO 27001 no es prescribir una lista de tecnologías que la empresa debe comprar. Es exigir que se diseñe, implemente y mantenga un SGSI que proteja tres atributos de la información: confidencialidad (que solo quien deba acceder a la información lo haga), integridad (que la información no sea alterada de forma no autorizada) y disponibilidad (que esté accesible cuando se necesite). Suena abstracto hasta que se aterriza en operaciones reales: estos tres atributos son justamente los que tu sistema de controles volumétricos debe garantizar para que el SAT y la CNE puedan confiar en lo que les reportas.
Por qué el sector hidrocarburos es un blanco crítico
La información que se mueve dentro de un sistema de controles volumétricos no es genérica. Cada registro contiene volúmenes operativos, RFC del contribuyente, datos de clientes y proveedores, ubicaciones de instalaciones, dictámenes de laboratorio, certificados de calibración, y la trazabilidad completa de cada operación. Esta información tiene tres características que la convierten en objetivo:
Primero, tiene valor fiscal directo. Una alteración no autorizada en los volúmenes reportados puede traducirse en evasión del IEPS o del IVA, o en deducciones improcedentes. Segundo, tiene valor de inteligencia económica. Conocer los volúmenes y proveedores de una empresa permite a un competidor —o a un actor del mercado ilícito— mapear flujos comerciales sensibles. Tercero, tiene valor para el huachicol fiscal: si un atacante puede manipular los registros que vinculan CFDI con volúmenes físicos, abre una ventana para legalizar combustible robado o para esconder mermas reales.
A esto se suma que el sector enfrenta amenazas reales y cuantificables. Pemex ha reportado intentos de ciberataque equivalentes a 2.6 millones diarios en 2022-2023, y el ataque exitoso de 2019 derivó en filtraciones documentadas.
Más allá de Pemex, cualquier permisionario de petrolíferos, gas natural o gas LP que opere con sistemas conectados —medidores, SCADA, plataformas de reporte— está expuesto a la misma clase de riesgos, solo que con menos recursos para defenderse.
La conexión: el propio SAT exige seguridad de la información
Aquí hay un punto que frecuentemente se pasa por alto. El Anexo 21 de la Resolución Miscelánea Fiscal (RMF) 2026 —antes Anexo 30— se titula formalmente Especificaciones técnicas de funcionalidad y seguridad de los equipos y programas informáticos para llevar controles volumétricos. La palabra “seguridad” no es decorativa: el anexo exige funcionalidades que cualquiera reconocería como controles de seguridad de la información.
Entre lo que el SAT pide directamente al sistema están: registros de los eventos de seguridad con fecha y hora, bitácora de intentos de acceso fallidos y exitosos, control de actividad de usuarios, sesiones con cierre por inactividad, autenticación de usuarios internos y externos, mecanismos de no repudio de transacciones, protección contra inyección de código, manejo controlado de errores, gestión documentada de cambios al programa, y respaldo de la información en una Unidad Central de Control (UCC) sobre medios seguros. Adicionalmente, el anexo exige preservar la confidencialidad, la integridad, la conservación, la confiabilidad y la disponibilidad de la información.
Cualquier profesional de seguridad de la información reconocerá ese vocabulario: es prácticamente un subconjunto de los controles del Anexo A de ISO/IEC 27001:2022. Cumplir con el Anexo 21 sin un SGSI estructurado es posible —en teoría— pero implica improvisar controles caso por caso, sin un marco que garantice consistencia, auditoría y mejora continua. Cumplir con un SGSI certificado en ISO 27001 significa que esos controles no son una lista de pendientes que un técnico marca, sino un sistema de gestión auditado externamente cada año.
Dicho de otra forma: cuando un proveedor de software de controles volumétricos opera bajo ISO 27001, los requisitos de seguridad del Anexo 21 no se cumplen como un esfuerzo aparte, sino como una consecuencia natural de cómo trabaja la empresa.
La cadena de custodia digital de la información volumétrica
Considera el viaje que hace un litro de combustible —o un metro cúbico de gas— en términos de información:
El medidor lo cuantifica. La UCC recibe el dato. El programa informático lo asocia con el CFDI correspondiente, con el dictamen del tipo de hidrocarburo y con el certificado anual de operación. El sistema genera el reporte mensual en JSON o XML, lo sella con el Certificado de Sello Digital del contribuyente y lo envía al SAT. Paralelamente, parte de esa información se reporta a la Comisión Nacional de Energía (CNE) según el tipo de permiso. Y desde abril de 2026, el CFDI asociado debe incluir el Complemento Concepto para Hidrocarburos y Petrolíferos, que cruza la operación con el permiso vigente del emisor.
Cada salto en esa cadena es un punto donde la información puede alterarse, perderse, filtrarse o falsificarse si no existen controles. Si en algún eslabón un actor malicioso —externo o interno— modifica los volúmenes, los datos del cliente o el dictamen, el efecto se propaga: el reporte llega corrupto al SAT, el CFDI se construye sobre datos falsos, la conciliación con la CNE revela inconsistencias, y la responsabilidad recae en el contribuyente.
La ISO 27001 existe precisamente para que esa cadena no dependa de heroísmos individuales, sino de un sistema documentado de controles. Encriptación de datos en tránsito y en reposo, gestión de accesos por rol, separación de ambientes, monitoreo continuo, gestión de incidentes, respaldos verificados, capacitación al personal y revisión continua: son procesos que el SGSI exige y que un auditor externo verifica.
Cómo le beneficia a una empresa de hidrocarburos colaborar con un proveedor certificado
Hasta aquí hemos hablado de la norma. Toca aterrizarla en el beneficio concreto para tu operación. Cuando contratas un sistema de controles volumétricos a un proveedor certificado en ISO 27001, recibes cuatro tipos de protección que no son obvios desde fuera.
Reducción del riesgo solidario.
Bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), cuando contratas a un encargado para tratar datos personales que están bajo tu responsabilidad, sigues siendo el responsable ante la autoridad. Si tu proveedor sufre una filtración con datos de tus clientes, empleados o proveedores, las consecuencias jurídicas, reputacionales y económicas tocan tu puerta primero. Las sanciones bajo la LFPDPPP pueden alcanzar cifras millonarias, y desde la reforma de 2025 las facultades de supervisión se trasladaron a la Secretaría Anticorrupción y Buen Gobierno tras la desaparición del INAI. Trabajar con un proveedor certificado en ISO 27001 no elimina ese riesgo —ningún control lo hace— pero lo reduce de forma demostrable y documentada.
Continuidad operativa frente a incidentes
Un ataque de ransomware o una caída de infraestructura no es una hipótesis remota: es una posibilidad estadística. Un proveedor con SGSI certificado tiene planes de continuidad de negocio probados, respaldos verificados, procedimientos de recuperación con tiempos objetivo definidos. La diferencia entre tener tu reporte mensual al SAT caído ocho horas o caído tres semanas es la diferencia entre un susto y una multa por presentación extemporánea.
Confianza ante auditorías
Cuando un auditor del SAT, una Unidad de Verificación acreditada por la EMA o un revisor de la CNE te pregunta cómo proteges la integridad de tu información volumétrica, tener detrás un proveedor certificado en ISO 27001 convierte una respuesta vaga en una documentada. La presunción de cumplimiento diligente —concepto que un auditor ponderará al revisar tu operación— se sostiene mucho mejor cuando puedes mostrar que tus controles informáticos descansan sobre un SGSI auditado externamente.
Protección frente a la competencia y al mercado ilícito
Tu información comercial —volúmenes, precios, clientes, rutas— es un activo competitivo. Una filtración que termine en manos de un competidor o de un operador del huachicol fiscal puede tener consecuencias que ninguna multa fiscal puede medir. Un SGSI certificado opera bajo el principio de mínimo privilegio: solo accede a tus datos quien debe acceder, cuando debe hacerlo, con registro de cada acceso.
Qué significa realmente “estar certificado” en ISO 27001
Vale la pena cerrar con una distinción importante, porque en el mercado se confunden dos cosas que no son iguales: cumplir con los requisitos de seguridad del Anexo 21 y estar certificado en ISO 27001.
Cumplir con el Anexo 21 es una obligación fiscal que aplica al sistema de controles volumétricos en sí. Es verificable mediante el certificado anual emitido por una Unidad de Verificación acreditada conforme al Anexo 22 de la RMF 2026 (antes Anexo 31). Es necesario, pero acotado al sistema y a sus funcionalidades.
Estar certificado en ISO 27001 es un compromiso organizacional con un Sistema de Gestión de Seguridad de la Información que cubre toda la operación de la empresa proveedora —no solo el software—, incluyendo personas, procesos, instalaciones físicas y tecnología. Implica auditorías externas anuales por organismos acreditados, una declaración de aplicabilidad documentada, un análisis de riesgos formal, indicadores de desempeño, un proceso de mejora continua y la trazabilidad de cada incidente. La certificación se suspende o se retira si la empresa no mantiene el sistema. No es un sello que se compra: es una práctica que se sostiene.
Cuando ambas condiciones se combinan —Anexo 21 cumplido al 100 % y proveedor certificado en ISO 27001— el contribuyente obtiene la cobertura más completa que el mercado puede ofrecer hoy en términos de cumplimiento fiscal y seguridad de la información.
¿Cómo Volumetrics by AIVARA te ayuda con la seguridad de tu información volumétrica?
En Volumetrics by AIVARA sabemos que tu información fiscal y operativa es uno de tus activos más sensibles. Por eso nuestro SGSI está diseñado para que el cumplimiento del Anexo 21 y los principios de la ISO 27001 se traduzcan en un solo flujo de trabajo: encriptación de tus datos, gestión de accesos por rol, bitácoras de auditoría, respaldos blindados y procedimientos de recuperación probados, todo bajo un marco de mejora continua que protege tu operación —y, por consecuencia, tu cumplimiento ante el SAT y la CNE— sin que tengas que pensarlo cada día.
¿Quieres confirmar que tu sistema actual de controles volumétricos protege tu información con los estándares que el Anexo 21 exige, o explorar cómo un proveedor certificado puede reducir tu riesgo solidario? Contáctanos para un diagnóstico sin compromiso en www.volumetrics.com.mx.
Fuentes consultadas
- Servicio de Administración Tributaria (SAT). “Controles volumétricos — Preguntas frecuentes”. Consultado en abril de 2026. https://www.sat.gob.mx/minisitio/ControlesVolumetricos/preguntas_frecuentes.html
- Servicio de Administración Tributaria (SAT). “Anexo 30 de la Resolución Miscelánea Fiscal para 2025 — Especificaciones técnicas de funcionalidad y seguridad de los equipos y programas informáticos para llevar controles volumétricos”. Consultado en abril de 2026. http://omawww.sat.gob.mx/normatividad_rmf_rgce/Paginas/documentos2025/rmf/anexos/Anexo_30_RMF_2025-14012025.pdf
- Diario Oficial de la Federación. “Anexo 30 de la Resolución Miscelánea Fiscal para 2020”. DOF, 20 de enero de 2020. https://dof.gob.mx/nota_detalle.php?codigo=5584366&fecha=20/01/2020
- Cámara de Diputados del H. Congreso de la Unión. “Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)”. Consultado en abril de 2026. http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
- Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). “Guía para cumplir con las obligaciones establecidas en la LFPDPPP”. Consultado en abril de 2026. https://home.inai.org.mx/wp-content/documentos/DocumentosSectorPrivado/Guia_obligaciones_lfpdppp_junio2016.pdf
- Instituto Nacional de Ciberseguridad (INCIBE-CERT). “Petrolera Pemex sufrió ciberataque de ransomware”. Consultado en abril de 2026. https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/petrolera-pemex-sufrio-ciberataque-ransomware
- El Universal. “Se multiplican intentos de ciberataques contra Pemex”. 22 de abril de 2024. https://www.eluniversal.com.mx/cartera/intentos-de-ciberataques-contra-pemex-crecen-236/
- Hogan Lovells. “Nueva Ley Federal de Protección de Datos de México: implicaciones para las empresas”. Marzo de 2025. https://www.hoganlovells.com/es/publications/mexicos-new-federal-data-protection-law-what-it-means-for-companies