La tokenización es una forma que tienen las empresas de proteger los datos sensibles. Fundamentalmente, permite a las empresas transformar datos sensibles en datos no sensibles. Los datos no sensibles se denominan "token", de ahí su nombre.
Los tokens no guardan relación alguna con los datos originales en cuanto a sus valores. Sin embargo, sigue habiendo formas (como el formato) de vincular los tokens a los datos originales. Esto permite a la empresa continuar sus operaciones comerciales con un riesgo reducido de fugas y violaciones de datos.
Aquí echamos un vistazo a todo lo que necesita saber sobre la tokenización de pagos. Hablamos de las ventajas y los inconvenientes, la diferencia entre tokenización y cifrado, los tipos de tokens y mucho más.
¿Qué es un token?
Un token es un dato. La naturaleza de este dato puede variar mucho en cuanto a longitud y formato. Sin embargo, siempre sustituirá a otros datos. Utilizando un pequeño número de información retenida de los datos originales, un token puede funcionar eficazmente como su reemplazo.
Es importante recordar que un token no tiene valor por sí mismo. Sin los datos originales, un token carece básicamente de sentido. Sin embargo, los tokens se utilizan en lugar de los datos más sensibles en todo el mundo, como tarjetas de crédito y números de identificación.
Una buena manera de pensar en los tokens es imaginarse la tarjeta de un hotel. Cuando alguien se registra en un hotel, suele recibir una tarjeta en recepción una vez autentificada su identidad y confirmada la reserva.
Esta tarjeta se puede utilizar para acceder a varias zonas del hotel, por ejemplo, si tiene acceso especial a la zona VIP o si desea restringir el acceso de los niños a la zona de la piscina, pero permitirles el acceso a sus habitaciones. Es mucho más cómodo que tener que llevar siempre encima documentos de identidad o varias llaves.
¿Cuáles son las ventajas de la tokenización?
Dejemos las analogías y pasemos al mundo real. Estas son algunas de las principales ventajas de la tokenización:
- Es más difícil para los piratas informáticos acceder a datos sensibles. Esto se debe a que los datos carecerán de sentido incluso en el caso de una violación.
- La tokenización no suele requerir la actualización de los sistemas para adaptarlos a las nuevas normas. El cifrado, en cambio, puede requerir la actualización de los sistemas heredados.
- La tokenización no requiere muchos recursos y es una alternativa más barata que otros sistemas de seguridad de datos como el cifrado.
- Facilita el cumplimiento de las normas al añadir una capa adicional de seguridad. Más adelante entraremos en más detalles. Puede ofrecer nuevas oportunidades de eficiencia en las industrias financieras.
- La tokenización permite servicios como el pago con un solo clic en comercios. Esto se debe a que permite a las empresas cumplir con PCI DSS, que es un requisito para los pagos con un solo clic.
- Permite formas alternativas de liquidación de contratos, como el uso de blockchain, que pueden tener ventajas sobre los sistemas heredados. Un ejemplo de esto sería la liquidación de un contrato a través de Monero para la privacidad y el anonimato.
¿Cuáles son los inconvenientes de la tokenización?
Ningún sistema es perfecto. Esto también se aplica a la tokenización. Estos son los principales inconvenientes de la tokenización:
- No existe una normativa clara sobre la tokenización. Esto crea una incertidumbre que podría resultar costosa para las empresas más adelante. Por ejemplo, una empresa puede verse obligada a cambiar su sistema de tokenización si la normativa industrial le exige adherirse a nuevos estándares.
- En algunos casos, los sistemas tokenizados pueden tener vulnerabilidades que faciliten que sean atacados y violados. Por ejemplo, las vulnerabilidades técnicas pueden permitir a los hackers acceder a datos sensibles mediante el uso de un token.
- La tokenización puede ser compleja y hacer que la estructura informática de una empresa sea un poco más difícil de entender. Cualquier nuevo técnico informático tendría que entender todo el sistema tokenizado antes de ser capaz de mantenerlo o aplicar cualquier cambio.
- La tokenización requiere el almacenamiento externo de datos sensibles. La empresa que elija al proveedor podría ser susceptible de sufrir filtraciones de datos.
- No todos los procesadores de pagos admiten la tokenización. Esto deja a las empresas y los comerciantes con menos opciones a la hora de elegir procesadores de pago en comparación con un enfoque tradicional.
Detokenización
Hasta ahora hemos hablado de la tokenización y de sus pros y sus contras. Una vez que los datos han sido tokenizados, el emisor puede acceder a ellos mediante un proceso conocido como destokenización.
Así es como funciona la detokenización:
El sistema de tokenización original es el único que puede acceder a los datos sensibles. Los datos sensibles se almacenan de forma segura con el proveedor de seguridad.
Muchas veces, un token se utilizará simplemente una vez. Un ejemplo de ello es la autenticación de dos factores. Estos tokens se borran después, ya que no tienen más uso. Es importante recordar que los tokens no tienen valor por sí mismos. Son simplemente una representación de los datos originales.
Cada empresa tiene su propio sistema de tokenización. Como tal, el proceso de destokenización (acceso a los datos tokenizados) es único para cada empresa. Precisamente por eso la tokenización es tan segura.
Tokenización frente a cifrado
Para quienes no estén muy versados en el mundo de la tecnología, la tokenización puede parecer un concepto bastante similar al cifrado. Sin embargo, los dos procesos son fundamentalmente diferentes.
El cifrado es un método para cambiar los valores de los datos basándose en un cifrado preciso y una clave de cifrado. Los usuarios pueden entonces descifrar los datos siempre que dispongan de la clave. Una vez descifrado algo, vuelve a su estado original.
Problemas con el cifrado
Dado que los datos se han barajado basándose en el cifrado, la clave de cifrado invertirá exactamente el mismo proceso. Esto puede ser un problema porque cualquiera puede acceder a los datos siempre que consiga acceder a la clave de cifrado. Esto puede ocurrir si el poseedor de la clave se ve comprometido. Un pirata informático también puede acceder a la clave si está escrita en un documento.
Otro problema del cifrado es que muchos sistemas de cifrado pueden ser forzados. Esto ocurre cuando un ordenador dispone de tiempo y energía suficientes. Probará todas las combinaciones de claves posibles y acabará accediendo a los datos. Esto no es posible en la práctica para muchos sistemas de cifrado avanzados. Muchos sistemas de bajo nivel pueden ser presa fácil de ataques de fuerza bruta.
En qué se diferencia la tokenización
Un token no puede descifrarse ni invertirse. De hecho, no hay ninguna clave o indicador que una persona pueda utilizar que le permita ver los datos sensibles que hay detrás del token.
Los tokens sólo pueden volver a su forma original mediante el acceso a datos adicionales. Estos datos suelen almacenarse externamente por razones de seguridad. Como tal, la tokenización también tiende a ser una opción más rentable.
Esto significa que, aunque se vulnere la seguridad de un centro de datos, los datos obtenidos en un sistema tokenizado no tendrán ningún valor para el pirata informático. La capa adicional de seguridad es precisamente la razón por la que la tokenización ha cobrado más importancia en los últimos años.
No hay un claro vencedor entre la tokenización y el cifrado. La decisión de utilizar la tokenización o el cifrado depende de la empresa y de la naturaleza de su negocio. Muchas empresas utilizan ambos métodos. Esto es especialmente cierto para las empresas con muchos datos altamente sensibles.
Tipos de tokens
Hay muchas formas diferentes de clasificar las tokens. Muchas empresas de investigación clasifican los tokens a su manera. Por lo tanto, no existe una verdadera forma de clasificar los tokens. Una de las razones es que la mayor parte del sector no está regulado.
He aquí una posible forma de clasificar las tokens:
1. Tokens de pago
Los tokens de pago se utilizan para comprar y vender artículos digitalmente. La principal ventaja de utilizar tokens de pago es que no se necesita un intermediario. Estos tokens se utilizan para adquirir bienes y servicios en una red externa. El sector de los tokens de pago es bastante turbio. No están clasificados como valores. De hecho, en la mayoría de los países no existe ningún tipo de regulación que clasifique estos tokens. Además, no garantizan el acceso a nada una vez que cambian de manos. La mayoría de las criptomonedas, como Bitcoin y Ethereum, son buenos ejemplos de tokens de pago.
2. Tokens de utilidad
Los tokens de utilidad son diferentes de los tokens de pago. Representan algo en la cadena de bloques, pero no se utilizan como moneda. En este caso, el token proporciona a su poseedor un producto o servicio. Esto lo decide el emisor del token. Por ejemplo, un token puede permitir al titular recibir créditos de programación en el emisor. O el titular puede acceder a determinados servicios con descuento. Una cosa que hay que recordar es que los tokens de utilidad pueden perder su valor instantáneamente. No se consideran una inversión y en gran medida no están regulados en todo el mundo. Algunos ejemplos son Golem y Brickblock.
3. Tokens de seguridad
Como su nombre indica, estos tokens son similares a los valores. A veces también se conocen como tokens de activos. Ciertas normativas en torno a los tokens de seguridad varían según el país. En su mayor parte, los tokens de seguridad prometen un rendimiento positivo. Muchos consideran que se comportan de forma similar a los bonos y otros instrumentos basados en el crédito. En muchos casos, los tokens de seguridad se utilizan para tokenizar instrumentos financieros como los bonos. También son comunes las monedas y los tokens de seguridad inmobiliaria. Los que se basan en activos del mundo real suelen denominarse tokens respaldados por activos, y otros se conocen como tokens de capital.
4. Tokens DeFi
Los tokens DeFi se utilizan, como su nombre indica, para las finanzas descentralizadas. Se utilizan para alimentar aplicaciones y servicios que pueden utilizarse para realizar transacciones en las aplicaciones. En su mayor parte, los tokens DeFi se basan en la cadena de bloques Ethereum. Estos tokens pueden utilizarse para realizar operaciones bancarias e inversiones. Esto puede hacerse tanto para activos tradicionales que han sido tokenizados como para activos relacionados con blockchain.
5. Tokens no fungibles
Los tokens no fungibles (TNF, también conocido por sus siglas NFT, en inglés: Non-Fungible Token) son certificados que representan la propiedad digital de algo. Puede ser algo tan simple como una captura de pantalla de un meme o un cuadro de un artista. Las NFT se hicieron muy populares durante un breve periodo de tiempo y su valor se disparó antes de caer en picado. Aunque muchos las consideran una moda pasajera, todavía pueden tener algún valor en lo que respecta al arte.
Normas de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
El PCI DSS es una de las razones clave por las que la tokenización es importante. Cumplir la normativa PCI DSS es esencial para cualquier comerciante que quiera aceptar pagos con tarjeta en su negocio.
La principal razón de ser de la PCI DSS es garantizar la protección de los datos de los clientes. Quizá la norma más importante es que el comerciante no puede almacenar los números de las tarjetas de crédito después de la transacción. Esto incluye la base de datos del comerciante y los terminales de punto de venta (TPV).
Cómo ayuda la tokenización con PCI DSS
Antes de que se popularizara la tokenización, el cifrado era el método más popular para el cumplimiento de las normas. Sin embargo, ya hemos visto los pros y los contras de ese método. El principal problema es que el coste puede ser bastante elevado. El cifrado requiere sistemas de datos capaces de realizar los cálculos necesarios para un cifrado avanzado.
Esto es aún más problemático para los pequeños comerciantes con presupuestos bajos. Un pequeño comerciante puede tener que pasar por una actualización masiva con el fin de cifrar sus datos.
La tokenización es una alternativa viable. Con la tokenización, sólo se almacenan los cuatro últimos dígitos de la tarjeta en los sistemas del comerciante. Los datos reales del titular de la tarjeta son almacenados en un lugar seguro por un tercero. Este tercero también se encarga de emitir los tokens.
El token se crea cambiando los números de la tarjeta por valores aleatorios. Este token puede utilizarse para una transacción específica con el comerciante.
En el vertiginoso mundo de la tecnología y la seguridad de los datos, la tokenización destaca como una herramienta vital para salvaguardar la información confidencial. Ofrece a las empresas una forma rentable, segura y adaptable de proteger datos como números de tarjetas de crédito e información de identificación, reduciendo el riesgo de filtraciones y fugas. Desde la analogía de la tarjeta llave del hotel hasta las aplicaciones prácticas del mundo real en diversos sectores, los atributos únicos de la tokenización la distinguen del cifrado, ofreciendo una capa adicional de seguridad.
Sin embargo, el camino hacia la tokenización no está exento de dificultades. La falta de una normativa clara, las posibles vulnerabilidades, la complejidad de la estructura informática y otros inconvenientes hacen que el proceso de toma de decisiones sea matizado y específico de cada contexto.
La tokenización está a punto de convertirse en una parte cada vez más importante del panorama de la seguridad digital, ofreciendo oportunidades de eficiencia en el sector financiero y facilitando el cumplimiento de normas esenciales como PCI DSS. A medida que las empresas se enfrentan a las cambiantes amenazas del mundo digital, resulta esencial comprender la tokenización, sus aplicaciones, sus diferencias con el cifrado y la gama de tokens disponibles. Las empresas que se planteen la tokenización deben sopesar sus numerosas ventajas frente a sus posibles inconvenientes y consultar con expertos para elaborar una estrategia que se adapte a sus necesidades y objetivos específicos.
Al fin y al cabo, la tokenización es algo más que una palabra de moda; es una solución tangible con el potencial de remodelar nuestra forma de pensar sobre la seguridad y la privacidad de los datos en una economía global cada vez más interconectada. Su aplicación estratégica bien podría convertirse en una práctica estándar que trascienda los sectores y dé forma al futuro de la gestión segura de datos. Independientemente de que una empresa decida utilizar la tokenización, el cifrado o una combinación de ambos, lo que está claro es que la búsqueda de la seguridad en nuestra era digital sigue siendo un reto complejo y en constante evolución.
FAQs
What is card-on-file tokenization?
Card-on-file is when a company stores the information of the customer for future transactions. This can only be done with the person’s consent. There are a lot of regulations that govern card-on-file transactions, including PCI DSS.
Tokenization allows the companies to make sure that the information they hold is safe. The tokens cannot be used to access the credit card information even in the case of a breach.
Tokenization is applicable for all cards. This means that a customer’s card is protected regardless of whether it is a debit, credit, or prepaid card.
Can tokenization be used to make data anonymous?
It is possible to use tokenization to make data anonymous. Certain industries require merchants and companies to maintain data that cannot be traced back to its owners.
Tokenization allows companies to decouple the original data and its source. This can be used to meet regulatory concerns. However, it is important to tokenize the data in a way that it cannot be traced back.
Is the data masked when tokenized?
Yes, tokenization masks the data by replacing the original values with alternatives. The original data cannot be accessed by anyone apart from the issuer.
With tokenization, the original data is stored securely while the tokenized version (masked) is made available for use within the organisation.
Does a customer need to pay for tokenization?
A customer has no relation to the tokenization. As such, they do not have to pay anything for it. Tokenization is a protective measure that is undertaken by the issuing bank. In rare cases, it is taken on by the card network such as Mastercard or Visa.
