Todas las empresas, grandes o pequeñas, recopilarán, recibirán, almacenarán y/o distribuirán datos de alguna forma. Dondequiera que se manejen datos, las organizaciones tienen la responsabilidad de mantener la seguridad de los datos.
Existen muchas maneras diferentes en las que esto se puede lograr, siendo la tokenización y la encriptación dos de los ejemplos más prominentes.
Vamos a echar un vistazo a lo que implica cada método, sus ventajas y desventajas, e intentar determinar si un método es significativamente mejor que el otro.
¿Qué es la Tokenización?
Puede reconocer el término tokenización si su empresa ofrece soporte mediante chatbot, aunque aquí no estamos hablando del proceso en el procesamiento del lenguaje natural. De alguna manera, sin embargo, el principio es el mismo; ambos casos de tokenización involucran tomar información y cambiar la forma en que se representa.
El tipo de tokenización que nos concierne aquí es una rama de la criptografía, cuyo término proviene del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS, por sus siglas en inglés). En términos simples, la tokenización implica tomar un pedazo significativo de datos y convertirlo en una secuencia de caracteres aleatorios.
Esta secuencia de caracteres es el token. Los tokens se extraen aleatoriamente de una base de datos conocida como bóveda de tokens para sustituir los datos sensibles. El token no tiene valor por sí mismo, actuando únicamente como sustituto de los datos.
En el caso de una violación de datos, no hay forma de usar el token para acceder a los datos originales, manteniéndolos seguros. Esto se debe a que la tokenización no utiliza un método criptográfico para transformar datos comerciales sensibles, por lo que no hay una relación matemática entre el token y los datos que está protegiendo.
La tokenización utiliza la base de datos de la bóveda de tokens para almacenar la relación entre el token y la información original. Esto significa que incluso si se produce una violación de datos, no hay manera de revertir un algoritmo para acceder a los datos sensibles que el token está ocultando, como sería el caso con datos que han sido encriptados.
Los tokens pueden representarse de varias maneras. En algunos casos, los tokens pueden incorporar caracteres de la información que están protegiendo para ser más amigables con el usuario. Por ejemplo, un número de tarjeta de crédito que ha sido tokenizado por seguridad puede mostrarse como ‘5678’, donde los últimos cuatro dígitos son del número real de la tarjeta.
El número de tarjeta de crédito ha sido tokenizado, por lo que no hay forma de acceder a él, y el comerciante solo tiene acceso al token. Pero al mantener intactos los últimos cuatro dígitos, un cliente que realiza una compra en línea puede identificar qué tarjeta o cuenta bancaria ha utilizado para hacer la compra, sin revelar información sensible.
Usos de la Tokenización
La tokenización tiene una variedad de aplicaciones. Como se mencionó anteriormente, la tokenización se usa a menudo en el comercio electrónico para proteger los detalles de pago de los clientes que compran en línea. Debido a que los detalles de pago han sido reemplazados con un token, es imposible para el comerciante ver la información sensible.
Cuando se va a procesar el pago con tarjeta, el token se envía a la bóveda y se extraen los datos reales que corresponden al token para el proceso de autorización. Este proceso ocurre prácticamente de manera instantánea, realizándose automáticamente por el navegador o aplicación.
No son solo los detalles de pago los que se pueden asegurar con la tokenización. Se puede usar para ocultar todo tipo de información sensible, permitiendo que solo sea accedida por las partes relevantes con permiso. Direcciones de correo electrónico, números de teléfono, números de la seguridad social; prácticamente cualquier tipo de información que pueda tener almacenada en su plataforma de experiencia del cliente, todo puede estar efectivamente protegido mediante la tokenización.
Ventajas de la Tokenización
La ventaja obvia de la tokenización es que protege la información sensible en el caso de una violación de datos. Esta es una gran ventaja de la tokenización, dado el creciente protagonismo de las brechas de datos.
Estadísticas de violaciones de datos en 2019
Sin embargo, la tokenización no solo beneficia a los consumidores al proporcionar una seguridad mejorada. Las empresas también se benefician al tener reducida la responsabilidad interna de asegurar los datos sensibles. Cualquier organización que recopile información sensible tiene la responsabilidad de proteger esa información.
Debido a que la tokenización utiliza una base de datos de terceros para almacenar datos de forma segura, hay una carga reducida en las empresas para proporcionar el personal y los recursos para administrarla. Almacenar tokens en lugar de datos vulnerables simplifica el software y los procedimientos necesarios para estar en conformidad con las leyes de protección de datos.
Desventajas de la Tokenización
Puede haber desventajas en el uso de la tokenización, así como ventajas. En primer lugar, la tokenización añade complejidad a su infraestructura de TI. Para asegurar que los detalles del cliente permanezcan seguros, deben pasar por sistemas de destokenización y retokenización mientras se autorizan.
Sin embargo, vale la pena tener en cuenta que cualquier complejidad añadida por las medidas de seguridad empleadas es un pequeño precio a pagar para mantener seguros los datos de sus clientes y mantener el cumplimiento.
La tokenización puede no ser compatible con todos los procesadores de pago, por lo que es posible que necesite investigar si sus socios preferidos son compatibles. También vale la pena recordar investigar la seguridad y fiabilidad de los proveedores que almacenarán sus datos.
Almacenar datos fuera del sitio simplificará los procedimientos para su negocio, pero significa que dependerá de terceros para mantener seguros los valiosos datos de sus clientes.
¿Qué es la Encriptación?
La encriptación es otro método popular de protección de datos y se puede utilizar para proteger todo, desde una API de afiliado hasta almacenamiento en la nube. A diferencia de la tokenización, implica transformar datos existentes para mantenerlos seguros. La encriptación utiliza algoritmos para cambiar información de texto plano en texto cifrado ilegible.
Tendencias de cifrado de 2021 y estrategia
Para que la información se descifre y vuelva a ser legible, el receptor de los datos necesita un algoritmo y una clave de descifrado. Esto asegura que solo los destinatarios previstos de la información puedan acceder a ella.
Se puede utilizar cifrado de archivos (FBE) o cifrado de disco completo (FDE). El primero requiere una clave de cifrado separada para cada pieza de información a la que se accede, y el segundo permite que se vea una base de datos completa con una clave de cifrado.
Cifrado Simétrico y Asimétrico
Hay dos enfoques principales para el cifrado, el cifrado de clave simétrica y el cifrado de clave asimétrica.
- El cifrado de clave simétrica utiliza una sola clave para cifrar y descifrar la información. Este tipo de cifrado suele ser más sencillo de configurar, pero significa que si la clave se ve comprometida, entonces todos los datos que se utilizaron para asegurar se vuelven vulnerables.
- El cifrado de clave asimétrica, o cifrado de clave pública, utiliza dos claves distintas, una para el cifrado y otra para el descifrado. La clave pública solo se puede usar para cifrar los datos, y una segunda clave privada se usa para descifrarlos. Esto reduce el número de partes responsables de la clave de descifrado, minimizando por lo tanto el riesgo de que se vea comprometida.
Usos del Cifrado
El cifrado es uno de los métodos más comúnmente utilizados para asegurar datos y, como tal, se usa de diversas maneras. Las empresas utilizan el cifrado para proteger la información de tarjetas de pago y los datos del titular de la tarjeta. También se puede usar para proteger información personal identificable e información personal no pública.
La información transmitida en Internet a menudo está protegida utilizando cifrado Secure Sockets Layer (SSL). Los sitios web con certificados SSL han sido verificados como genuinos y, por lo tanto, un certificado SSL a menudo se usa como un indicador rápido de si un sitio web o tienda de comercio electrónico es confiable, lo que lo hace esencial si desea generar ventas y aumentar la retención de clientes.
Muchos sistemas operativos de computadoras y sistemas operativos de teléfonos inteligentes cuentan con capacidades de cifrado incorporadas para proteger información personal, al punto que muchos usuarios tal vez ni siquiera se dan cuenta de que están utilizando herramientas de cifrado. También hay disponibles muchos tipos de software y aplicaciones de cifrado de terceros.
Ventajas del Cifrado
El cifrado se puede utilizar para proteger una amplia gama de tipos de información. Junto con la información personal y los detalles financieros, el cifrado también se puede usar para proteger datos no estructurados como correos electrónicos o archivos.
Esto significa que grandes piezas de información pueden protegerse fácilmente con el cifrado, mientras que la tokenización se utiliza realmente solo para piezas más pequeñas de datos, como los números de tarjeta de crédito. Si recientemente ha aumentado su base de clientes gracias a una nueva campaña de marketing, bien podría optar por el cifrado como una manera de mantener seguros los numerosos detalles de nuevos clientes.
Las claves de descifrado se pueden compartir fácilmente con otros sin crear vulnerabilidades de seguridad, lo que significa que compartir información de manera segura o acceder a archivos de forma remota es más fácil con el cifrado que con la tokenización.
El cifrado también se puede realizar muy rápidamente. Grandes cantidades de información pueden asegurarse en un tiempo relativamente corto, en contraste con la tokenización, donde cada carácter de los datos que se aseguran se cambia.
Desventajas del Cifrado
Desafortunadamente, también hay desventajas en el uso del cifrado. Todo lo que un hacker necesita para acceder a la información protegida es una clave, por lo que si la obtienen a través de medios nefastos, entonces tienen acceso a todos los datos cifrados con ella. Esto contrasta con la tokenización, donde cada valor está protegido con un token aleatorio separado.
También puede haber algunos problemas con la funcionalidad del software debido al cifrado. El texto cifrado utilizado en el cifrado puede no ser compatible con algunas herramientas de software, por lo que puede ser necesario realizar investigaciones para asegurar la compatibilidad antes de seleccionar el software de cifrado.
Finalmente, el cifrado a menudo funciona mejor cuando se utiliza junto con capas adicionales de seguridad, como la encriptación multifactor. Piense en ello como múltiples capas de seguridad que trabajan juntas para formar un conjunto más fuerte, similar a una función como una herramienta de análisis de sentimientos que trabaja para crear una mejor experiencia de chatbot. Agregar capas adicionales de seguridad puede resultar en que el proceso de cifrado sea más costoso y requiera más tiempo del que originalmente había planeado.
Tokenización vs. Cifrado
Hay varios factores clave que debe considerar al decidir si el cifrado o la tokenización es la elección correcta para su negocio.
Sector
Los tipos de riesgos de seguridad que puede enfrentar dependerán del sector en el que esté operando. Un informe de 2020 encontró que la gran mayoría de los detalles obtenidos en violaciones de la industria minorista eran detalles personales o de pago.
Principales tipos de datos en violaciones de la industria minorista
Si está administrando una tienda de comercio electrónico, buscará una forma de mantener seguros los detalles de pago de sus clientes, así como buscará formas de mejorar su control de inventario o mejorar sus métricas de habilitación de ventas. La tokenización proporciona una forma eficiente y confiable de hacer esto.
Si está operando en el sector de la salud y necesita asegurar un gran número de archivos o bases de datos que contienen registros de pacientes, entonces el cifrado es probablemente un método más rápido y eficiente.
Riesgos de Seguridad
Los tipos de riesgos de seguridad que puede enfrentar también jugarán un papel en el método que elija para proteger sus datos. La tokenización es mucho más difícil de revertir que el cifrado de datos, el cual se revierte fácilmente por diseño, siempre y cuando se cuente con la clave de descifrado.
Debido a que los tokens no contienen ninguno de los datos originales, son efectivamente inútiles para cualquier parte externa que pueda llegar a obtenerlos mediante hackeos u otros medios nefastos. Si su industria es propensa a hackeos u otros ciberataques, entonces la tokenización puede proporcionar una protección más efectiva.
Si su negocio emplea a muchos trabajadores remotos, tanto a nivel nacional como global, es probable que tengan que compartir información en la nube o a través de otros métodos remotos. Este es otro factor a tener en cuenta al considerar métodos de protección.
Cumplimiento
El cumplimiento es otro factor a considerar. Debido a que el cifrado se puede revertir, el PCI DSS lo considera inseguro, lo que significa que se deben usar otros métodos de protección de datos de clientes junto con él para cumplir con las regulaciones. Estos otros métodos pueden resultar en costos adicionales para su negocio que originalmente no había presupuestado.
Por otro lado, la tokenización se considera conforme. Esto significa que no se necesitan tomar otros pasos para lograr el cumplimiento. Esto puede reducir costos y significa que, en caso de que su entorno se vea comprometido, no tendrá que preocuparse por multas u otras repercusiones.
Escalabilidad
El cifrado es mucho más fácil de usar a gran escala que la tokenización. Si su organización necesita cifrar grandes cantidades de información variada, el cifrado puede ofrecer un método de protección más versátil.
La tokenización sufre problemas de escalabilidad, ya que aumentar la cantidad de tokens utilizados incrementa el riesgo de colisiones. Una colisión ocurre cuando se intenta asignar el mismo token a dos piezas de datos.
El proceso debe entonces reiniciarse para asignar un nuevo token que no exista ya. Cuanta más información haya estado tokenizando, más posibilidades hay de que un token se duplique, lo que ralentiza todo el proceso.
¿Cuál es el Mejor para su Negocio?
Desafortunadamente, no hay una forma sencilla de responder a esta pregunta. De hecho, la respuesta más probable es ambos.
La tokenización y el cifrado ofrecen pros y contras sorprendentemente diferentes para salvaguardar su información sensible. La tokenización proporciona una seguridad que es más difícil de deshacer, pero es difícil de manejar e ineficiente a gran escala.
El cifrado, por otro lado, es más fácil de revertir, pero es mucho más adecuado para proteger grandes cantidades de datos y facilita mucho la compartición de esa información.
Tendrá que analizar cuidadosamente las necesidades de su negocio para determinar qué método funciona mejor para usted en diferentes situaciones. Sin embargo, lo que está claro es que ambos métodos tienen valor para mantener segura la información de su organización y la de sus clientes.
