Tokenización - Reemplazo de datos sensibles con tokens
Lectura de 2 min aprox.
La tokenización es una técnica que protege datos sensibles como los números de tarjeta de crédito y los números de identificación personal sustituyéndolos por cadenas aleatorias sin significado (tokens). Los datos originales se almacenan en una bóveda de tokens (una tabla de correspondencia segura), y solo los sistemas autorizados pueden recuperar el valor original a partir de un token. Está ampliamente adoptada en los sistemas de pago que cumplen con PCI DSS, y su adopción se acelera aún más con la entrada en vigor completa de PCI DSS v4.0 en 2025.
Casos de uso reales
«En la renovación de un sitio de comercio electrónico, introdujimos la tokenización para lograr una arquitectura sin retención de datos de tarjetas. Convertimos los números de tarjeta en tokens a través de la API del procesador de pagos y almacenamos solo los tokens en nuestra propia base de datos. El alcance de la auditoría de PCI DSS se redujo significativamente, recortando nuestros costos de auditoría anuales en un 40%.»
El flujo de tokenización
La diferencia con el enmascaramiento de datos
El enmascaramiento de datos transforma los datos originales de forma irreversible y no se puede revertir, mientras que la tokenización es fundamentalmente diferente, ya que los datos originales pueden restaurarse a través de la bóveda de tokens. En el procesamiento de pagos, el número de tarjeta se tokeniza en el momento de la compra y, en el momento de la facturación real, el número original se recupera de la bóveda de tokens y se procesa. Gracias a este mecanismo, nunca se almacena ningún número de tarjeta en el sistema del comercio, lo que reduce enormemente el daño en caso de una filtración de datos.libros de introducción a la seguridad de pagos (Amazon) permiten aprenderlo de forma sistemática.
Cuándo usar tokenización o cifrado
El cifrado transforma los datos con un algoritmo matemático, por lo que si la clave se filtra existe el riesgo de que todos los datos puedan descifrarse. La tokenización no tiene relación matemática entre el token y los datos originales, así que aunque solo se obtenga el token, no se pueden inferir los datos originales. Sin embargo, dado que la bóveda de tokens en sí se convierte en un punto único de fallo, proteger la bóveda exige una gestión de claves con un HSM y un control de acceso estricto.
Puntos clave para la adopción en la práctica
Los pagos móviles como Apple Pay y Google Pay son ejemplos representativos de la tokenización de dispositivos. Al usar un token específico del dispositivo en lugar del número de tarjeta real, la información de la tarjeta permanece segura aunque el dispositivo sea robado. La función de «guardar información de la tarjeta» de los sitios de comercio electrónico también, en la mayoría de los casos, almacena en realidad un token. Protege las pantallas de administración de pagos con contraseñas aleatorias fuertes para evitar el acceso no autorizado a la bóveda de tokens.libros sobre sistemas de pago (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?