El uso de inteligencia artificial en dispositivos y software médico representa una de las áreas de mayor crecimiento en el sector salud en México, pero también una de las más exigentes desde el punto de vista regulatorio. La COFEPRIS IA software médico es hoy el binomio que determina si un sistema de apoyo diagnóstico, monitoreo de pacientes o gestión clínica puede operar legalmente en el país. A partir de 2026, tanto fabricantes nacionales como importadores de soluciones digitales de salud enfrentan criterios más estrictos de clasificación, validación clínica y ciberseguridad. Este artículo describe los requisitos vigentes, los casos de uso reales en el mercado mexicano y los pasos concretos para que su organización cumpla sin frenar la adopción tecnológica.
Contexto regulatorio y de oportunidad para la IA médica en México
México cuenta con más de 23,000 hospitales y clínicas registradas ante la Secretaría de Salud, y un mercado de tecnología médica valuado en aproximadamente 3,500 millones de dólares anuales según datos de la Cámara Nacional de la Industria Farmacéutica (CANIFARMA) y ProMéxico. En ese ecosistema, el software que procesa imágenes de diagnóstico, interpreta señales de electrocardiograma o estratifica riesgo clínico mediante modelos de aprendizaje automático no es simplemente una herramienta informática: es, bajo la normativa mexicana, un dispositivo médico de software (SaMD, por sus siglas en inglés).
La Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS) regula estos sistemas a través de la Ley General de Salud, el Reglamento de Insumos para la Salud y las Normas Oficiales Mexicanas aplicables, en particular la NOM-241-SSA1-2012 sobre Buenas Prácticas de Fabricación para dispositivos médicos. Aunque esa norma no menciona explícitamente la IA, la COFEPRIS ha emitido criterios internos y lineamientos armonizados con el marco del IMDRF (International Medical Device Regulators Forum) para clasificar el software según el nivel de riesgo que representa para el paciente.
El problema concreto que enfrentan hospitales privados, laboratorios de patología digital y empresas de telemedicina es la ausencia de un reglamento específico para IA, lo que genera incertidumbre sobre qué documentación presentar, qué evidencia clínica se requiere y cuánto tiempo tarda el proceso de registro sanitario. En promedio, un expediente de dispositivo médico clase III tarda entre 18 y 24 meses en COFEPRIS; para software con IA, la falta de criterios claros puede extender ese plazo o derivar en dictámenes de rechazo por información insuficiente.
La oportunidad está en prepararse antes de que los lineamientos definitivos para 2026 queden publicados en el Diario Oficial de la Federación (DOF), porque las organizaciones que ya tengan sus expedientes técnicos en orden podrán obtener registro en ventana prioritaria y competir en licitaciones del IMSS, ISSSTE y Seguro Popular (INSABI/IMSS-Bienestar).
Cómo funciona técnicamente la clasificación de software médico con IA ante COFEPRIS
La COFEPRIS adopta la guía IMDRF/SaMD N12 como referencia para clasificar el software médico según dos variables: la gravedad de la condición que se diagnostica o trata, y el grado de influencia que el software tiene en la decisión clínica. El resultado es una matriz de cuatro categorías (I a IV) que determina el nivel de evidencia requerido.
Para sistemas de inteligencia artificial, el proceso técnico-regulatorio implica cinco componentes documentales clave:
- Descripción del algoritmo: arquitectura del modelo (redes neuronales convolucionales, transformers, árboles de decisión, etc.), datos de entrenamiento, métricas de desempeño (sensibilidad, especificidad, AUC-ROC) y condiciones de fallo.
- Gestión del ciclo de vida del software (IEC 62304): COFEPRIS exige que el desarrollo siga estándares internacionales de ingeniería de software médico, incluyendo control de versiones, trazabilidad de requisitos y pruebas de regresión.
- Gestión de riesgos (ISO 14971): análisis FMEA o FMECA aplicado al modelo de IA, considerando sesgos de dataset, deriva del modelo en producción y escenarios de error.
- Evidencia clínica: estudios de validación realizados en población mexicana o, en su defecto, estudios internacionales con justificación de equivalencia demográfica y epidemiológica.
- Ciberseguridad: conforme a las guías del NIST Cybersecurity Framework y los lineamientos de la Agencia de Seguridad Digital del Gobierno de México, incluyendo cifrado de datos de pacientes según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
El proceso inicia con una solicitud de opinión de clasificación ante la Dirección Ejecutiva de Dispositivos Médicos de COFEPRIS. Una vez clasificado el software, el fabricante o importador presenta el expediente técnico completo. Si el producto ya cuenta con marcación CE (Europa) o clearance 510(k) de la FDA (Estados Unidos), COFEPRIS acepta ese antecedente como evidencia de respaldo, aunque no elimina el trámite nacional. El dictamen final habilita el número de registro sanitario que debe aparecer en toda la publicidad, contratos de servicio y etiquetado del sistema.
Casos de uso B2B mexicanos concretos en software médico con IA
1. Análisis de imagen radiológica en cadenas hospitalarias privadas
Grupos hospitalarios de segundo y tercer nivel —como los que operan en CDMX, Monterrey y Guadalajara— están integrando sistemas de IA para la detección de nódulos pulmonares en tomografías y mamografías. Estas soluciones, frecuentemente importadas de proveedores europeos o estadounidenses, requieren registro ante COFEPRIS como dispositivo médico clase III. El error más común es comercializar el software bajo contrato de “servicio en la nube” asumiendo que eso exime del registro, cuando en realidad COFEPRIS considera el lugar de uso clínico (México) como determinante de la jurisdicción regulatoria.
2. Plataformas de telemedicina con estratificación de riesgo
Empresas de medicina ocupacional que atienden a corporativos y maquiladoras en el norte del país están adoptando módulos de IA para stratificar el riesgo cardiovascular o metabólico de los empleados durante consultas remotas. Cuando el software emite una recomendación de tratamiento —no solo informativa— cruza la línea hacia SaMD clase II o III. Varias de estas plataformas operan sin registro porque sus promotores desconocen que la LFPDPPP, combinada con la regulación de COFEPRIS, impone obligaciones adicionales de consentimiento informado y aviso de privacidad específico para datos de salud.
3. Sistemas de gestión de laboratorio clínico con interpretación automatizada
Cadenas de laboratorios de diagnóstico que operan a nivel nacional están evaluando módulos que interpretan automáticamente resultados de hemograma, perfil lipídico o biometría hemática. Cuando la interpretación es solo de referencia para el médico, el software puede calificar como clase I o II; si genera alertas críticas que disparan protocolos de atención urgente sin revisión médica previa, la clasificación sube a clase III. COFEPRIS ha sido enfática en que la autonomía de la decisión del algoritmo es el criterio central de clasificación.
4. Software de apoyo diagnóstico en IMSS e ISSSTE
Las licitaciones del Instituto Mexicano del Seguro Social para soluciones de patología digital y gestión de imágenes médicas exigen explícitamente número de registro sanitario vigente en COFEPRIS. Proveedores tecnológicos que aspiran a contratos con el sector salud público deben iniciar el proceso de registro con al menos 18 meses de anticipación al proceso licitatorio, dado que los tiempos de la autoridad no se ajustan a los calendarios de compras del gobierno federal.
Implementación práctica: pasos para cumplir con COFEPRIS en software médico con IA
El siguiente esquema está diseñado para fabricantes de software nacionales, subsidiarias de empresas extranjeras y proveedores de SaaS médico que desean operar en el mercado mexicano con certeza jurídica.
Paso 1: Determinar si su software califica como SaMD
Antes de iniciar cualquier trámite, evalúe si su solución procesa datos de un paciente específico para influir en una decisión clínica. Si la respuesta es sí, es muy probable que sea un dispositivo médico de software. Consulte con un especialista regulatorio que conozca tanto la normativa COFEPRIS como el marco IMDRF.
Paso 2: Clasificar el nivel de riesgo
Aplique la matriz IMDRF/SaMD N12 a su producto. Documente por escrito el razonamiento, ya que COFEPRIS puede solicitar esa justificación en el expediente. Si tiene dudas, solicite una opinión previa de clasificación; COFEPRIS dispone de este mecanismo formal.
Paso 3: Construir el expediente técnico
Reúna la documentación de acuerdo con la NOM-241-SSA1-2012 y los lineamientos IMDRF. Para sistemas de IA, asegúrese de incluir la ficha técnica del modelo, las métricas de desempeño en datasets de validación, el análisis de riesgos bajo ISO 14971 y la evidencia clínica. Si su empresa ya cuenta con marcación CE o 510(k), incluya la documentación como anexo de referencia.
Paso 4: Designar un representante legal ante COFEPRIS
Toda empresa extranjera requiere un apoderado legal en México. Las empresas nacionales deben designar un responsable sanitario con cédula profesional vigente en el área relevante (ingeniería biomédica, farmacia, medicina).
Paso 5: Presentar la solicitud y gestionar el dictamen
Ingrese el expediente a través del sistema SINARESAP de COFEPRIS. Los tiempos legales de respuesta son de 60 días hábiles para clase I y II, y hasta 90 días hábiles para clase III, aunque en la práctica pueden extenderse. Monitoree el estatus del expediente y responda en tiempo cualquier prevención (solicitud de información adicional) que emita la autoridad.
Paso 6: Mantener la vigilancia postcomercialización
El registro sanitario no es permanente sin obligaciones. Su empresa debe implementar un sistema de reporte de incidentes adversos y actualizar el registro ante cambios significativos en el algoritmo (por ejemplo, reentrenamiento con nuevos datos que altere el desempeño clínico).
Consideraciones de regulación, costo y talento en México
Costo del proceso regulatorio: El pago de derechos (DGCEA) para registro de dispositivo médico clase III en México oscila entre 80,000 y 120,000 pesos mexicanos, según la tarifa publicada en el DOF. A ello se suman los costos de elaboración del expediente técnico (consultorías regulatorias especializadas cobran entre 150,000 y 400,000 pesos dependiendo de la complejidad del software), traducciones certificadas y, en su caso, estudios de validación clínica en población mexicana, que pueden representar el rubro más costoso del proceso.
Protección de datos personales: Los datos de salud son considerados datos sensibles bajo la LFPDPPP y su Reglamento. Cualquier sistema de IA que procese expedientes clínicos, imágenes médicas o resultados de laboratorio debe contar con un aviso de privacidad integral, mecanismos de consentimiento informado documentado y medidas de seguridad técnicas y administrativas auditables. El INAI puede iniciar procedimientos de verificación ante quejas de pacientes, con multas de hasta 320,000 días de salario mínimo.
Disponibilidad de talento especializado: México tiene un déficit notable de profesionales con experiencia combinada en IA, regulación sanitaria e ingeniería biomédica. Las universidades que forman ingenieros biomédicos con perfil regulatorio (IPN, UNAM, ITESM) no producen suficientes egresados para la demanda del sector. Esto hace que muchas empresas recurran a consultores externos o a equipos remotos, lo que obliga a contemplar protocolos robustos de transferencia de conocimiento y documentación interna.
Armonización 2026: COFEPRIS ha anunciado su intención de publicar lineamientos específicos para IA en salud armonizados con la guía IMDRF/AI WG N10 antes del cierre de 2025. Las organizaciones que ya tengan sus sistemas bajo el marco IMDRF estarán en mejor posición para adaptarse sin reiniciar el proceso regulatorio.
Preguntas frecuentes
¿Todo software que use IA en un entorno clínico requiere registro ante COFEPRIS?
No todo software de uso en entornos médicos califica como dispositivo médico de software. Si el sistema realiza funciones administrativas puras —agendamiento de citas, facturación CFDI, gestión de inventarios— no requiere registro sanitario, aunque sí puede estar sujeto a la LFPDPPP si maneja datos de pacientes. El registro ante COFEPRIS es obligatorio cuando el software procesa datos de un paciente específico para apoyar, guiar o automatizar una decisión clínica de diagnóstico, tratamiento, prevención o monitoreo. La clave es el propósito médico directo del algoritmo, no el entorno donde se usa. Un chatbot de orientación general de síntomas sin recomendación individualizada puede ubicarse en zona gris, y en ese caso se recomienda solicitar opinión previa de clasificación a COFEPRIS antes de comercializar.
¿Qué sucede si una empresa opera su software médico con IA sin registro sanitario en México?
Las consecuencias son de índole sanitaria, administrativa y penal. COFEPRIS está facultada para ordenar el retiro del mercado del producto, clausurar instalaciones, imponer multas que van desde 2,000 hasta 16,000 veces la Unidad de Medida y Actualización (UMA), y presentar denuncias penales por delitos contra la salud en términos del Código Penal Federal. Para las instituciones de salud que contraten y usen el software sin registro, también puede haber responsabilidad administrativa ante la Secretaría de Salud. Adicionalmente, en caso de daño a un paciente atribuible al software, la ausencia de registro es un agravante en los procedimientos civiles y penales derivados. El riesgo reputacional para hospitales privados que compiten por certificaciones JCI o por contratos con aseguradoras también es significativo.
¿Cuánto tiempo tarda obtener el registro sanitario de un software médico con IA en México?
El plazo legal es de 60 días hábiles para dispositivos clase I y II, y de 90 días hábiles para clase III, contados a partir de que COFEPRIS admite el expediente como completo. Sin embargo, en la práctica los tiempos reales son significativamente mayores: entre 12 y 24 meses para clase III, considerando que la autoridad puede emitir “prevenciones” (solicitudes de información adicional) que suspenden el conteo del plazo. Preparar un expediente técnico sólido desde el inicio —sin errores de forma ni vacíos de información— es el factor más determinante para reducir el tiempo de obtención. Empresas que han pasado por el proceso con un consultor regulatorio experimentado reportan tiempos de 12 a 14 meses para clase III, frente a los 20 a 24 meses de quienes presentan expedientes incompletos.
Conclusión
El cumplimiento regulatorio ante COFEPRIS para software médico con inteligencia artificial no es un obstáculo burocrático, sino una condición de entrada a uno de los mercados de salud digital con mayor potencial de crecimiento en América Latina. Las organizaciones —fabricantes, hospitales, laboratorios o proveedores de telemedicina— que comprendan la clasificación de riesgo, construyan expedientes técnicos robustos y anticipen los lineamientos 2026 estarán en condiciones de escalar con certeza jurídica, acceder a licitaciones del sector público y diferenciarse en un mercado donde la confianza del médico y del paciente es el activo más difícil de recuperar una vez perdido. Si su empresa está evaluando desarrollar, importar o integrar un sistema de IA en entornos clínicos mexicanos, el primer paso es un diagnóstico regulatorio preciso antes de invertir en desarrollo o en negociaciones comerciales. Conversar con IAmanos sobre la estrategia regulatoria y tecnológica para su software médico con IA puede ser ese primer paso.
