{"id":646,"date":"2026-04-30T21:09:55","date_gmt":"2026-04-30T21:09:55","guid":{"rendered":"https:\/\/www.volumetrics.com.mx\/blog\/?p=646"},"modified":"2026-04-30T21:09:56","modified_gmt":"2026-04-30T21:09:56","slug":"iso-27001-y-controles-volumetricos-por-que-importa-que-tu-proveedor-este-certificado","status":"publish","type":"post","link":"https:\/\/www.volumetrics.com.mx\/blog\/iso-27001-y-controles-volumetricos-por-que-importa-que-tu-proveedor-este-certificado\/","title":{"rendered":"ISO 27001 y controles volum\u00e9tricos: por qu\u00e9 importa que tu proveedor est\u00e9 certificado"},"content":{"rendered":"\n

En 2019 Pemex<\/strong> descubri\u00f3 un mensaje en rojo en sus pantallas exigiendo cinco millones de d\u00f3lares en bitcoins. Era un ataque del ransomware<\/em> DoppelPaymer y, aunque la petrolera report\u00f3 que solo se vio afectado el 5 % de sus equipos, ese peque\u00f1o porcentaje equival\u00eda a cerca de diez mil dispositivos comprometidos y a informaci\u00f3n sensible filtrada en la deep web<\/em>: planos de infraestructura, datos de clientes, datos de empleados, documentos corporativos. Lo que parec\u00eda un incidente aislado fue, en realidad, el primer aviso de una tendencia: entre 2022 y 2023 los intentos de ciberataque contra Pemex<\/strong> se triplicaron y alcanzaron 1,904 millones, un crecimiento del 236 % respecto al bienio anterior.<\/p>\n\n\n\n

Si la empresa p\u00fablica m\u00e1s grande del pa\u00eds enfrenta esa magnitud de amenaza, \u00bfqu\u00e9 puede esperarse para el resto de la cadena de hidrocarburos y petrol\u00edferos en M\u00e9xico? La respuesta corta es que la informaci\u00f3n que generan tus controles volum\u00e9tricos \u2014vol\u00famenes, dict\u00e1menes, certificados, CFDI<\/strong> y datos personales de clientes y proveedores\u2014 vale mucho, para los atacantes, tanto como el combustible mismo. Y aqu\u00ed es donde una norma internacional poco conocida fuera del mundo t\u00e9cnico se vuelve relevante para cualquier permisionario: la ISO\/IEC 27001<\/strong>.<\/p>\n\n\n\n

Qu\u00e9 son las normas ISO y por qu\u00e9 importan<\/h2>\n\n\n\n

Para explicarlo de una forma directa, las normas ISO<\/strong> son acuerdos voluntarios, desarrollados por la Organizaci\u00f3n Internacional de Normalizaci\u00f3n<\/strong> (International Organization for Standardization<\/em>, por sus siglas en ingl\u00e9s), que establecen c\u00f3mo hacer bien las cosas en un campo determinado. Existen normas para gesti\u00f3n de calidad (ISO 9001<\/strong>), gesti\u00f3n ambiental (ISO 14001<\/strong>), seguridad y salud en el trabajo (ISO 45001<\/strong>) y muchas otras. Cuando una empresa se certifica<\/em> en una norma ISO, no es que haya pagado por un sello: significa que un organismo externo e independiente audit\u00f3 sus procesos y verific\u00f3 que cumplen con los requisitos del est\u00e1ndar, y que ese cumplimiento se mantiene mediante auditor\u00edas peri\u00f3dicas.<\/p>\n\n\n\n

La importancia de las normas ISO est\u00e1 en que ofrecen un lenguaje com\u00fan. Cuando una empresa mexicana le dice a un cliente alem\u00e1n que est\u00e1 certificada en ISO 9001<\/strong>, ambos saben exactamente lo que eso implica, sin importar el idioma o la legislaci\u00f3n local. Esto reduce fricci\u00f3n, eleva la confianza y permite que las cadenas de valor globales funcionen con criterios homog\u00e9neos. En sectores altamente regulados \u2014como el energ\u00e9tico\u2014 la certificaci\u00f3n se convierte en algo m\u00e1s que reputaci\u00f3n: es un mecanismo para demostrar que la empresa opera con rigor sist\u00e9mico y no de forma reactiva.<\/p>\n\n\n\n

ISO 27001: c\u00f3mo y por qu\u00e9 surge<\/h2>\n\n\n\n

La historia de la ISO\/IEC 27001<\/strong> comienza en 1995, cuando el British Standards Institution<\/strong> (BSI<\/strong>) public\u00f3 la norma BS 7799-1<\/strong>, un c\u00f3digo de buenas pr\u00e1cticas para la seguridad de la informaci\u00f3n elaborado por encargo del Departamento de Comercio e Industria del Reino Unido. La motivaci\u00f3n era clara: en plena expansi\u00f3n de las tecnolog\u00edas de la informaci\u00f3n, las organizaciones manejaban datos cada vez m\u00e1s sensibles sin un marco com\u00fan para protegerlos. En 1998 se public\u00f3 la segunda parte, BS 7799-2<\/strong>, que introdujo el concepto de Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n<\/strong> (SGSI<\/strong>) certificable: ya no era solo una gu\u00eda, sino un esquema auditable.<\/p>\n\n\n\n

El salto a est\u00e1ndar internacional ocurri\u00f3 en dos fases. En el a\u00f1o 2000 la primera parte se adopt\u00f3 como ISO\/IEC 17799<\/strong> (luego renombrada como ISO\/IEC 27002<\/strong> en 2007). En octubre de 2005 la parte certificable \u2014BS 7799-2<\/strong>\u2014 se convirti\u00f3 en ISO\/IEC 27001:2005<\/strong>, la primera versi\u00f3n internacional del est\u00e1ndar. Las revisiones siguieron en 2013 y, m\u00e1s recientemente, en octubre de 2022. La versi\u00f3n vigente, ISO\/IEC 27001:2022<\/strong>, contiene 93 controles organizados en cuatro temas (organizaci\u00f3n, personas, infraestructura f\u00edsica y tecnolog\u00eda) y refleja amenazas modernas que no exist\u00edan cuando se redact\u00f3 la versi\u00f3n anterior: ataques a cadenas de suministro, computaci\u00f3n en la nube, privacidad de datos, regulaciones como el RGPD<\/strong> europeo.<\/p>\n\n\n\n

El objetivo de la certificaci\u00f3n ISO 27001<\/h4>\n\n\n\n

El prop\u00f3sito central de ISO 27001<\/strong> no es prescribir una lista de tecnolog\u00edas que la empresa debe comprar. Es exigir que se dise\u00f1e, implemente y mantenga un SGSI<\/strong> que proteja tres atributos de la informaci\u00f3n: confidencialidad<\/strong> (que solo quien deba acceder a la informaci\u00f3n lo haga), integridad<\/strong> (que la informaci\u00f3n no sea alterada de forma no autorizada) y disponibilidad<\/strong> (que est\u00e9 accesible cuando se necesite). Suena abstracto hasta que se aterriza en operaciones reales: estos tres atributos son justamente los que tu sistema de controles volum\u00e9tricos debe garantizar para que el SAT<\/strong> y la CNE<\/strong> puedan confiar en lo que les reportas.<\/p>\n\n\n\n

Por qu\u00e9 el sector hidrocarburos es un blanco cr\u00edtico<\/h2>\n\n\n\n

La informaci\u00f3n que se mueve dentro de un sistema de controles volum\u00e9tricos no es gen\u00e9rica. Cada registro contiene vol\u00famenes operativos, RFC<\/strong> del contribuyente, datos de clientes y proveedores, ubicaciones de instalaciones, dict\u00e1menes de laboratorio, certificados de calibraci\u00f3n, y la trazabilidad completa de cada operaci\u00f3n. Esta informaci\u00f3n tiene tres caracter\u00edsticas que la convierten en objetivo:<\/p>\n\n\n\n

Primero, tiene valor fiscal directo. Una alteraci\u00f3n no autorizada en los vol\u00famenes reportados puede traducirse en evasi\u00f3n del IEPS<\/strong> o del IVA<\/strong>, o en deducciones improcedentes. Segundo, tiene valor de inteligencia econ\u00f3mica. Conocer los vol\u00famenes y proveedores de una empresa permite a un competidor \u2014o a un actor del mercado il\u00edcito\u2014 mapear flujos comerciales sensibles. Tercero, tiene valor para el huachicol fiscal: si un atacante puede manipular los registros que vinculan CFDI<\/strong> con vol\u00famenes f\u00edsicos, abre una ventana para legalizar combustible robado o para esconder mermas reales.<\/p>\n\n\n\n

A esto se suma que el sector enfrenta amenazas reales y cuantificables. Pemex<\/strong> ha reportado intentos de ciberataque equivalentes a 2.6 millones diarios en 2022-2023, y el ataque exitoso de 2019 deriv\u00f3 en filtraciones documentadas.

M\u00e1s all\u00e1 de Pemex<\/strong>, cualquier permisionario de petrol\u00edferos, gas natural o gas LP que opere con sistemas conectados \u2014medidores, SCADA<\/strong>, plataformas de reporte\u2014 est\u00e1 expuesto a la misma clase de riesgos, solo que con menos recursos para defenderse.<\/p>\n\n\n\n

La conexi\u00f3n: el propio SAT exige seguridad de la informaci\u00f3n<\/h2>\n\n\n\n

Aqu\u00ed hay un punto que frecuentemente se pasa por alto. El Anexo 21<\/strong> de la Resoluci\u00f3n Miscel\u00e1nea Fiscal<\/strong> (RMF<\/strong>) 2026<\/strong> \u2014antes Anexo 30<\/strong>\u2014 se titula formalmente Especificaciones t\u00e9cnicas de funcionalidad y seguridad de los equipos y programas inform\u00e1ticos para llevar controles volum\u00e9tricos<\/em>. La palabra “seguridad” no es decorativa: el anexo exige funcionalidades que cualquiera reconocer\u00eda como controles de seguridad de la informaci\u00f3n.<\/p>\n\n\n\n

Entre lo que el SAT<\/strong> pide directamente al sistema est\u00e1n: registros de los eventos de seguridad con fecha y hora, bit\u00e1cora de intentos de acceso fallidos y exitosos, control de actividad de usuarios, sesiones con cierre por inactividad, autenticaci\u00f3n de usuarios internos y externos, mecanismos de no repudio de transacciones, protecci\u00f3n contra inyecci\u00f3n de c\u00f3digo, manejo controlado de errores, gesti\u00f3n documentada de cambios al programa, y respaldo de la informaci\u00f3n en una Unidad Central de Control<\/strong> (UCC<\/strong>) sobre medios seguros. Adicionalmente, el anexo exige preservar la confidencialidad, la integridad, la conservaci\u00f3n, la confiabilidad y la disponibilidad de la informaci\u00f3n.<\/p>\n\n\n\n

Cualquier profesional de seguridad de la informaci\u00f3n reconocer\u00e1 ese vocabulario: es pr\u00e1cticamente un subconjunto de los controles del Anexo A de ISO\/IEC 27001:2022<\/strong>. Cumplir con el Anexo 21<\/strong> sin un SGSI<\/strong> estructurado es posible \u2014en teor\u00eda\u2014 pero implica improvisar controles caso por caso, sin un marco que garantice consistencia, auditor\u00eda y mejora continua. Cumplir con un SGSI<\/strong> certificado en ISO 27001<\/strong> significa que esos controles no son una lista de pendientes que un t\u00e9cnico marca, sino un sistema de gesti\u00f3n auditado externamente cada a\u00f1o.<\/p>\n\n\n\n

Dicho de otra forma: cuando un proveedor de software de controles volum\u00e9tricos opera bajo ISO 27001<\/strong>, los requisitos de seguridad del Anexo 21<\/strong> no se cumplen como un esfuerzo aparte, sino como una consecuencia natural de c\u00f3mo trabaja la empresa.<\/p>\n\n\n\n

La cadena de custodia digital de la informaci\u00f3n volum\u00e9trica<\/h2>\n\n\n\n

Considera el viaje que hace un litro de combustible \u2014o un metro c\u00fabico de gas\u2014 en t\u00e9rminos de informaci\u00f3n:<\/p>\n\n\n\n

El medidor lo cuantifica. La UCC<\/strong> recibe el dato. El programa inform\u00e1tico lo asocia con el CFDI<\/strong> correspondiente, con el dictamen del tipo de hidrocarburo y con el certificado anual de operaci\u00f3n. El sistema genera el reporte mensual en JSON<\/strong> o XML<\/strong>, lo sella con el Certificado de Sello Digital<\/strong> del contribuyente y lo env\u00eda al SAT<\/strong>. Paralelamente, parte de esa informaci\u00f3n se reporta a la Comisi\u00f3n Nacional de Energ\u00eda<\/strong> (CNE<\/strong>) seg\u00fan el tipo de permiso. Y desde abril de 2026, el CFDI<\/strong> asociado debe incluir el Complemento Concepto para Hidrocarburos y Petrol\u00edferos<\/strong>, que cruza la operaci\u00f3n con el permiso vigente del emisor.<\/p>\n\n\n\n

Cada salto en esa cadena es un punto donde la informaci\u00f3n puede alterarse, perderse, filtrarse o falsificarse si no existen controles. Si en alg\u00fan eslab\u00f3n un actor malicioso \u2014externo o interno\u2014 modifica los vol\u00famenes, los datos del cliente o el dictamen, el efecto se propaga: el reporte llega corrupto al SAT<\/strong>, el CFDI<\/strong> se construye sobre datos falsos, la conciliaci\u00f3n con la CNE<\/strong> revela inconsistencias, y la responsabilidad recae en el contribuyente.<\/p>\n\n\n\n

La ISO 27001<\/strong> existe precisamente para que esa cadena no dependa de hero\u00edsmos individuales, sino de un sistema documentado de controles. Encriptaci\u00f3n de datos en tr\u00e1nsito y en reposo, gesti\u00f3n de accesos por rol, separaci\u00f3n de ambientes, monitoreo continuo, gesti\u00f3n de incidentes, respaldos verificados, capacitaci\u00f3n al personal y revisi\u00f3n continua: son procesos que el SGSI<\/strong> exige y que un auditor externo verifica.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

C\u00f3mo le beneficia a una empresa de hidrocarburos colaborar con un proveedor certificado<\/h2>\n\n\n\n

Hasta aqu\u00ed hemos hablado de la norma. Toca aterrizarla en el beneficio concreto para tu operaci\u00f3n. Cuando contratas un sistema de controles volum\u00e9tricos a un proveedor certificado en ISO 27001<\/strong>, recibes cuatro tipos de protecci\u00f3n que no son obvios desde fuera.<\/p>\n\n\n\n

Reducci\u00f3n del riesgo solidario.<\/strong> <\/p>\n\n\n\n

Bajo la Ley Federal de Protecci\u00f3n de Datos Personales en Posesi\u00f3n de los Particulares<\/strong> (LFPDPPP<\/strong>), cuando contratas a un encargado para tratar datos personales que est\u00e1n bajo tu responsabilidad, sigues siendo el responsable ante la autoridad. Si tu proveedor sufre una filtraci\u00f3n con datos de tus clientes, empleados o proveedores, las consecuencias jur\u00eddicas, reputacionales y econ\u00f3micas tocan tu puerta primero. Las sanciones bajo la LFPDPPP<\/strong> pueden alcanzar cifras millonarias, y desde la reforma de 2025 las facultades de supervisi\u00f3n se trasladaron a la Secretar\u00eda Anticorrupci\u00f3n y Buen Gobierno<\/strong> tras la desaparici\u00f3n del INAI<\/strong>. Trabajar con un proveedor certificado en ISO 27001<\/strong> no elimina ese riesgo \u2014ning\u00fan control lo hace\u2014 pero lo reduce de forma demostrable y documentada.<\/p>\n\n\n\n

Continuidad operativa frente a incidentes<\/strong><\/h4>\n\n\n\n

Un ataque de ransomware<\/em> o una ca\u00edda de infraestructura no es una hip\u00f3tesis remota: es una posibilidad estad\u00edstica. Un proveedor con SGSI<\/strong> certificado tiene planes de continuidad de negocio probados, respaldos verificados, procedimientos de recuperaci\u00f3n con tiempos objetivo definidos. La diferencia entre tener tu reporte mensual al SAT<\/strong> ca\u00eddo ocho horas o ca\u00eddo tres semanas es la diferencia entre un susto y una multa por presentaci\u00f3n extempor\u00e1nea.<\/p>\n\n\n\n

Confianza ante auditor\u00edas<\/strong><\/h4>\n\n\n\n

Cuando un auditor del SAT<\/strong>, una Unidad de Verificaci\u00f3n<\/strong> acreditada por la EMA<\/strong> o un revisor de la CNE<\/strong> te pregunta c\u00f3mo proteges la integridad de tu informaci\u00f3n volum\u00e9trica, tener detr\u00e1s un proveedor certificado en ISO 27001<\/strong> convierte una respuesta vaga en una documentada. La presunci\u00f3n de cumplimiento diligente \u2014concepto que un auditor ponderar\u00e1 al revisar tu operaci\u00f3n\u2014 se sostiene mucho mejor cuando puedes mostrar que tus controles inform\u00e1ticos descansan sobre un SGSI<\/strong> auditado externamente.<\/p>\n\n\n\n

Protecci\u00f3n frente a la competencia y al mercado il\u00edcito<\/strong><\/h4>\n\n\n\n

Tu informaci\u00f3n comercial \u2014vol\u00famenes, precios, clientes, rutas\u2014 es un activo competitivo. Una filtraci\u00f3n que termine en manos de un competidor o de un operador del huachicol fiscal puede tener consecuencias que ninguna multa fiscal puede medir. Un SGSI<\/strong> certificado opera bajo el principio de m\u00ednimo privilegio: solo accede a tus datos quien debe acceder, cuando debe hacerlo, con registro de cada acceso.<\/p>\n\n\n\n

Qu\u00e9 significa realmente “estar certificado” en ISO 27001<\/h2>\n\n\n\n

Vale la pena cerrar con una distinci\u00f3n importante, porque en el mercado se confunden dos cosas que no son iguales: cumplir con los requisitos de seguridad del Anexo 21<\/strong> y estar certificado en ISO 27001<\/strong>.<\/p>\n\n\n\n

Cumplir con el Anexo 21<\/strong> es una obligaci\u00f3n fiscal que aplica al sistema de controles volum\u00e9tricos en s\u00ed. Es verificable mediante el certificado anual emitido por una Unidad de Verificaci\u00f3n<\/strong> acreditada conforme al Anexo 22<\/strong> de la RMF 2026<\/strong> (antes Anexo 31<\/strong>). Es necesario, pero acotado al sistema y a sus funcionalidades.<\/p>\n\n\n\n

Estar certificado en ISO 27001<\/strong> es un compromiso organizacional con un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n<\/strong> que cubre toda la operaci\u00f3n de la empresa proveedora \u2014no solo el software\u2014, incluyendo personas, procesos, instalaciones f\u00edsicas y tecnolog\u00eda. Implica auditor\u00edas externas anuales por organismos acreditados, una declaraci\u00f3n de aplicabilidad documentada, un an\u00e1lisis de riesgos formal, indicadores de desempe\u00f1o, un proceso de mejora continua y la trazabilidad de cada incidente. La certificaci\u00f3n se suspende o se retira si la empresa no mantiene el sistema. No es un sello que se compra: es una pr\u00e1ctica que se sostiene.<\/p>\n\n\n\n

Cuando ambas condiciones se combinan \u2014Anexo 21<\/strong> cumplido al 100 % y proveedor certificado en ISO 27001<\/strong>\u2014 el contribuyente obtiene la cobertura m\u00e1s completa que el mercado puede ofrecer hoy en t\u00e9rminos de cumplimiento fiscal y seguridad de la informaci\u00f3n.<\/p>\n\n\n\n

\u00bfC\u00f3mo Volumetrics by AIVARA te ayuda con la seguridad de tu informaci\u00f3n volum\u00e9trica?<\/h2>\n\n\n\n

En Volumetrics by AIVARA<\/strong> sabemos que tu informaci\u00f3n fiscal y operativa es uno de tus activos m\u00e1s sensibles. Por eso nuestro SGSI<\/strong> est\u00e1 dise\u00f1ado para que el cumplimiento del Anexo 21<\/strong> y los principios de la ISO 27001<\/strong> se traduzcan en un solo flujo de trabajo: encriptaci\u00f3n de tus datos, gesti\u00f3n de accesos por rol, bit\u00e1coras de auditor\u00eda, respaldos blindados y procedimientos de recuperaci\u00f3n probados, todo bajo un marco de mejora continua que protege tu operaci\u00f3n \u2014y, por consecuencia, tu cumplimiento ante el SAT<\/strong> y la CNE<\/strong>\u2014 sin que tengas que pensarlo cada d\u00eda.<\/p>\n\n\n\n

\u00bfQuieres confirmar que tu sistema actual de controles volum\u00e9tricos protege tu informaci\u00f3n con los est\u00e1ndares que el Anexo 21<\/strong> exige, o explorar c\u00f3mo un proveedor certificado puede reducir tu riesgo solidario? Cont\u00e1ctanos para un diagn\u00f3stico sin compromiso en www.volumetrics.com.mx<\/a>.<\/p>\n\n\n\n

\n\n\n\n

Fuentes consultadas<\/h2>\n\n\n\n