Si eres contador y manejas la facturacion de multiples clientes, es probable que tengas archivos .key almacenados en tu computadora, en la nube, o en la plataforma de facturacion que usas. Esto te convierte en custodio de la identidad fiscal de tus clientes — y la ley es clara sobre quien es responsable.
Que dice el Art. 17-D del Codigo Fiscal de la Federacion
"Los datos de creacion de firma electronica avanzada son intransferibles. El titular sera responsable de mantener el control exclusivo de sus datos de creacion de firma electronica avanzada."
En terminos practicos: si tu cliente te entrega su .key y alguien la usa indebidamente (por hackeo, filtracion, o negligencia), la responsabilidad legal recae sobre quien tenia el control. Si tu la almacenabas, esa persona eres tu.
El Caso Chronus: 36 Millones de Registros
En enero de 2026, la brecha de datos conocida como "Chronus" expuso informacion fiscal de 36 millones de mexicanos. El SAT fue mencionado directamente en la filtracion. El 80% de organismos gubernamentales habian sido comprometidos.
Si una plataforma de facturacion almacena tu .key en sus servidores y sufre una brecha similar, la pregunta no es SI van a ser hackeados — es CUANDO. Y cuando suceda, el Art. 17-D del CFF senala al titular (y a quien tenia custodia) como responsable.
Como Operan las Plataformas de Facturacion Hoy
Revisamos las principales plataformas de facturacion electronica en Mexico:
- Facturama: requiere subir CSD (
.cer+.key) a sus servidores - FacturAPI: almacena CSD en sus servidores (mencionan "cifrado en reposo")
- FiscalAPI: almacena CSD, certificado ISO 27001
- gigstack: almacena CSD, SOC 2
- CONTPAQi: software de escritorio (llaves locales), pero en la nube tambien las almacena
El 100% de las plataformas cloud de facturacion almacenan tu llave privada en sus servidores. Ninguna ofrece un modelo donde la .key permanezca exclusivamente en el dispositivo del titular.
La Alternativa: Firma No-Custodial
La firma no-custodial funciona asi:
- Cargas tu certificado (
.cer) — que es publico, como tu INE - Cuando necesitas firmar, seleccionas tu
.keyen tu computadora - La firma se ejecuta localmente en tu navegador usando WebCrypto
- Solo el resultado firmado (XML) se envia al servidor
- Tu
.keynunca sale de tu dispositivo
Este modelo es conforme al Art. 17-D porque el titular mantiene control exclusivo de sus datos de creacion de firma. El servidor nunca ve, almacena, ni procesa la llave privada.
Que Significa Esto para tu Despacho
Si administras 10 clientes y cada uno te entrego su .key:
- Tienes 10 identidades fiscales bajo tu custodia
- Si tu computadora o tu plataforma es comprometida, 10 contribuyentes estan expuestos
- El Art. 17-D no distingue entre hackeo y negligencia — la responsabilidad es de quien tenia el control
Con un modelo no-custodial, cada cliente firma desde su propio dispositivo. Tu administras sus CFDIs, pero nunca tocas su llave privada. El riesgo se elimina por diseno, no por politica.
Evalua tu nivel de riesgo en 3 minutos
Nuestro diagnostico gratuito te muestra tu exposicion legal, cuanto tiempo pierdes al mes, y como te comparas con otros contadores.
Hacer mi diagnosticoConclusion
La custodia de llaves privadas no es un problema tecnico — es un problema legal. Despues de Chronus, la confianza en el almacenamiento cloud de credenciales esta erosionada. El Art. 17-D del CFF es claro: el control exclusivo es responsabilidad del titular.
La pregunta no es si tu plataforma de facturacion es "segura". La pregunta es: quien tiene tu .key, y que pasa si la pierden?