Glosario de términos relacionados con la privacidad en Internet

Tokenización

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué es la tokenización?

La tokenización de datos es el proceso de reemplazar un elemento de datos sensibles con un equivalente no sensible, conocido como token, que no tiene significado o valor fuera de la aplicación específica para la que fue creado. La tokenización protege los datos sensibles de una exposición no deseada tanto durante la transmisión como mientras están almacenados, y por lo tanto es una medida de seguridad bien considerada, cumpliendo con los estándares de conformidad establecidos por varios organismos gubernamentales encargados de garantizar la seguridad de los datos. La tokenización de datos se ha vuelto ampliamente popular, particularmente para transacciones financieras.

La tokenización de datos es similar a la práctica de la era pre-digital de usar fichas del metro o fichas de juego en una sala de videojuegos para reemplazar el dinero real. En ambos casos, los tokens solo tenían valor dentro de su sistema particular, y no se podían usar en ningún otro lugar: una ficha del metro solo se podía usar para comprar un viaje en ese metro, y una ficha de sala de videojuegos solo se podía usar para jugar un videojuego en esa sala.

De manera similar, los tokens de datos solo se pueden usar dentro del contexto en el que fueron creados—no tienen valor fuera de esa aplicación. Un token de datos creado para completar tu transacción mensual con Netflix no tiene valor fuera de Netflix. Sin embargo, mientras que una ficha del metro solo compra un viaje, un token de datos puede ser de un solo uso o reutilizable (como para pagar una suscripción renovable).

¿Dónde se utiliza la tokenización?

Tokenización es un término amplio que cubre muchas aplicaciones. Aunque este artículo se centra en la tokenización de datos como método para asegurar datos sensibles, ten en cuenta que también puedes encontrar el término en otros contextos (por ejemplo, en blockchain el término tokenización representa la propiedad de activos físicos o digitales como los NFTs).

Con mucho, el uso más común de la tokenización de datos es en el procesamiento de pagos, especialmente pagos con tarjetas de crédito. Intercambiar datos de pago tokenizados a través de Internet reduce los riesgos de intercambiar información real de tarjetas de crédito. El token creado para un pago es único para el pagador y el receptor, y permite que el procesador de pagos identifique quién está haciendo un pago sin intercambiar ninguna información sensible como el nombre real o el número de tarjeta de crédito.

De manera similar, la tokenización es también la base para la funcionalidad de billeteras móviles como Apple Pay o Android Pay. Con billeteras móviles, el teléfono móvil solo almacena un token, no un número de tarjeta de crédito real. Cuando el teléfono se sostiene cerca del terminal de pago, por ejemplo, solo el token se transmite para completar el pago. Además de la mejora en la seguridad durante una transacción, almacenar solo un token proporciona una mejor seguridad si el teléfono se pierde o es robado.

Aunque el procesamiento de pagos es donde más frecuentemente ves datos tokenizados, la tokenización puede proteger una variedad de datos en diferentes configuraciones. Por ejemplo, los sistemas de salud pueden convertir los datos sensibles de un individuo (como el nombre, la fecha de nacimiento y el número de identificación médica) en un token. Este token luego puede ser utilizado para acceder a los registros del individuo. Esto proporciona tanto al individuo como a los cuidadores un acceso verificable y seguro a los datos de salud sin exponer innecesariamente los datos sensibles de la persona. Este tipo de tokenización de datos para proteger la información sensible se emplea a menudo para cumplir con los estándares establecidos por leyes como RGPD y HIPAA.

¿Cómo funciona la tokenización?

En una situación típica que utiliza la tokenización de datos, hay tres partes involucradas:

  • El individuo cuyos datos necesitan protección.
  • La parte intermediaria con la que interactúa la persona (como la oficina del médico o el comerciante).
  • Una tercera parte que almacena los datos o procesa la transacción (como un sistema de salud, una compañía de tarjetas de crédito o una entidad especializada en el manejo de tokens). Es esta tercera parte la que almacena todos los datos reales en una base de datos altamente segura, a veces llamada bóveda.

El token es creado por la tercera parte—la encargada de almacenar los datos reales—de algunas maneras diferentes. La mayoría de los procedimientos de creación—usando un generador de números aleatorios, hashing de los datos originales, o asignando el siguiente token en una lista o índice preestablecido—resultan en un token que no se puede “decodificar”. Ocasionalmente se crea un token usando encriptación, lo que resulta en un token que posiblemente se pueda desencriptar. Un token también puede ser parcialmente enmascarado. Por ejemplo, usar un número aleatorio para reemplazar los primeros 12 dígitos de un número de tarjeta de crédito deja los últimos cuatro dígitos sin cambios. Ves esto en acción cuando miras una lista de tarjetas de crédito para elegir con las que pagar, pero solo se muestran los últimos cuatro dígitos.

La transacción es manejada por la tercera parte en nombre de la parte media; la parte media (comerciante o proveedor de atención médica) almacena el token resultante en su datos, pero no cualquier dato sensible. Cuando quieren hacer algo relacionado con los datos (como ver los registros de un paciente, reembolsar un cargo por artículos devueltos o procesar un cargo mensual en una suscripción), contactan a los terceros y presentan el token. El tercero busca los datos reales en su almacén de tokens y proporciona los datos de transacción solicitados o procesa la transacción solicitada, sin enviar datos sensibles como un número de tarjeta de crédito.

Ejemplo de tokenización en acción

Veamos un ejemplo de tokenización de datos en el que un comerciante en línea almacena la información de pago de un cliente para futuras compras (este escenario suele ocurrir al final de una transacción). Imagina que has realizado un pedido y proporcionado tu método de pago. Luego, el comerciante te informará que tu pago ha sido confirmado y (generalmente) te ofrecerá almacenar tu método de pago para uso futuro. Tener la información de pago registrada puede agilizar futuras transacciones, pero quieres asegurarte de que tu información de pago no esté en riesgo de ser expuesta (como a través de una violación de datos).

En este caso, después de que el comerciante envíe la solicitud de pago al procesador de pagos a través de un “portal de pago” asegurado (un intermediario contratado por el comerciante para procesar transacciones y manejar el procesador de pagos final), el portal de pago almacenará los datos reales de la transacción en su almacén seguro de tokens. Esto incluye el número real de la tarjeta de crédito, junto con un token que genera; solo este token se devuelve al comerciante. El portal de pago también envía el token al procesador de pagos, quien eventualmente usará el token para completar la transacción.

El comerciante luego almacena el token como un registro de la transacción, pero no ningún dato real del método de pago. El comerciante luego puede ofrecer almacenar la tarjeta de crédito del cliente para uso futuro, aunque lo que realmente están almacenando es el token. Cuando el cliente realiza una compra futura, el comerciante enviará la información de la compra y el token previamente almacenado a través del portal de pago. No habrá intercambio de datos reales de la tarjeta de crédito.

¿Por qué es tan segura la tokenización?

La mayoría de los tokens no pueden ser decodificados o desencriptados (dependiendo de cuál se use), por lo que si un token es interceptado durante la transmisión o como parte de una violación de datos, no se puede descifrar para revelar los datos originales. Los tokens son únicos para el individuo y la entidad que usa los datos del individuo: una sola tarjeta de crédito puede estar representada por múltiples tokens con un token diferente para cada comerciante. Si un comerciante sufre una violación de sus datos, solo se expone ese token, y no puede ser usado en otros comerciantes.

La tokenización de datos se considera lo suficientemente segura como para cumplir con los requisitos de seguridad estipulados por HIPAA, RGPD y PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago). Los estándares de PCI solo permiten a los comerciantes almacenar información real de tarjetas de crédito en sus propios datos si mantienen una infraestructura de encriptación fuerte (y costosa). Las pequeñas y medianas empresas, en particular, se benefician del uso de portales de pago y sus almacenes de tokens altamente seguros, ya que les permite configurar pagos recurrentes y formularios de pago reutilizables sin necesidad de un sistema de seguridad complejo interno.

Limitaciones de la tokenización

La tokenización de datos es ideal para algunas aplicaciones, como hemos visto para los pagos con tarjeta de crédito y los detalles de acceso a cuentas. Sin embargo, la tokenización de datos es algo limitada porque funciona mejor para datos que se ajustan a un formato común y predecible (como un número de tarjeta de crédito de 16 dígitos o un número de seguro social).

Cómo la tokenización beneficia a los individuos

Este método de asegurar información sensible incrementa la seguridad y privacidad de los datos personales de un individuo, desde datos financieros hasta datos de salud y más. También hace que las tareas cotidianas sean más fáciles y menos preocupantes. Por ejemplo, usar tu teléfono móvil y Apple Pay en una gasolinera es más fácil que deslizar o tocar una tarjeta de crédito, y puede ser más seguro.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.