Tokenización: De herramienta de seguridad a pagos listos para el futuro

Las brechas de datos de alto perfil en grandes minoristas expusieron miles de números de cuenta personal (PAN), impulsando la adopción de la tokenización, una solución que reemplaza datos sensibles de la cuenta por valores sustitutos, protegiendo tanto a consumidores como a comerciantes.

A medida que la tokenización se expandió, sus beneficios demostraron ir mucho más allá de la prevención de fraudes. Los comerciantes a menudo vieron aumentos significativos en las tasas de autorización. Pero el auge de tipos de tokens competidores, la aparición del comercio agentico y las políticas en evolución de líderes de la industria han hecho que la estrategia de tokenización sea más compleja que nunca.

En un podcast reciente de PaymentsJournal, Kiel Cook, Gerente Principal de Producto en IXOPAY, y Don Apgar, Director de Pagos para Comerciantes en Javelin Strategy & Research, exploraron las ventajas de rendimiento de la tokenización y por qué la próxima fase de cambios representa una oportunidad para que los comerciantes tomen las riendas de su destino en los pagos.

Vías hacia la autorización

A medida que aumentaba la demanda de tokenización, las redes de tarjetas introdujeron tokens de red, los proveedores de servicios de pago (PSP) emitieron tokens propietarios y terceros desarrollaron tokens universales para conectar ecosistemas. Durante un tiempo, la industria especuló sobre qué formato prevalecería finalmente.

“Las diferentes formas de tokenización se enfrentaron inicialmente en un escenario de esto o aquello,” dijo Cook. “Pero con el tiempo, especialmente en 2025, me di cuenta de que en realidad estas formas funcionan mejor juntas. En última instancia, cuando hablamos de credenciales de pago, hablamos de tasas de autorización. Los tokens de red son una fuente confiable y generalmente aumentan la probabilidad de evitar rechazos suaves.”

“Pero todavía hay escenarios donde el token de red puede fallar o no ser la credencial de pago más adecuada para usar,” agregó. “Quienes puedan pivotar de regreso al PAN cuando sea necesario serán los que ganen. Cuantas más vías tengas para obtener tasas de autorización, mejor.”

Más allá de los beneficios de seguridad y autorización, los tokens son persistentes. Se mantienen actualizados incluso cuando las tarjetas subyacentes expiran o son reemplazadas. Esto reduce rechazos innecesarios en escenarios de tarjetas en archivo y pagos recurrentes.

Los tokens también pueden servir como denominador común en P2P, adquirentes y regiones. Cuando se combinan con plataformas de orquestación de pagos, desbloquean flexibilidad operativa y ganancias de eficiencia significativas.

Juntos, estos beneficios hacen que la tokenización sea fundamental para la infraestructura moderna de pagos. Sin embargo, su rápida adopción también ha revelado nuevos puntos de dolor para los comerciantes.

“A medida que el panorama de comerciantes y las compras de los consumidores evolucionaron hacia canales omnicanal y luego móvil, los comerciantes optaron por proveedores de mejor calidad y a veces terminaron con múltiples pilas de tokenización,” dijo Apgar. “Cuando ahora quieres cambiar de PSP o hacer un cambio en un canal de ventas o agregar otro proveedor, se convierte en un problema real si no tienes control sobre el token.”

La cuestión de la propiedad

Para las pequeñas empresas que están comenzando, la propiedad del token rara vez es una prioridad. Los servicios de pago a menudo se consideran parte del costo general de hacer negocios.

“Por lo general, no surge hasta que hay un problema con su PSP, como tiempo de inactividad o el lanzamiento de una nueva tecnología en el mercado y su PSP no la tiene,” dijo Cook. “Entonces buscan cambiar y se dan cuenta de que no tienen la autoridad para tomar esas decisiones; necesitan el permiso de su proveedor para mover sus datos a otro lugar.”

“En ese momento, la pregunta es, ‘¿Eres dueño de tus datos? ¿Tienes control? ¿Puedes hacer lo que necesitas para mejorar la eficiencia, aumentar tus ganancias con los clientes, aumentar el reconocimiento de tu marca, tener una capa de conectividad de pagos robusta?’” explicó.

Esa lógica cambia a medida que los comerciantes expanden e integran múltiples PSP. En esa etapa, la propiedad del token impacta directamente en la portabilidad, la flexibilidad de enrutamiento y el poder de negociación. En resumen, quien controla el token controla aspectos críticos de la relación de pago.

“¿Qué nivel de autonomía te gustaría tener en tus decisiones de pago?” preguntó Cook. “Eso te ayudará a entender cuán importante será la propiedad de tus propios datos para ti. Quienes poseen sus credenciales de pago poseen su propio destino.”

El mandato de la tokenización

Las credenciales de pago siguen siendo increíblemente poderosas y cada vez más difíciles de proteger ante la creciente sofisticación del fraude. Para fortalecer las protecciones, Mastercard se ha comprometido a tokenizar todas las transacciones de comercio electrónico para 2030.

Aunque muchos apoyan el espíritu de este mandato, los comerciantes enfrentan dificultades con sus implicaciones prácticas. Las tarjetas de crédito seguirán siendo ampliamente usadas en 2030, y los emisores continuarán proporcionando PAN a los consumidores.

Sin embargo, los PAN probablemente jugarán un papel reducido en el ciclo de vida de la transacción. Ese cambio hace que la tokenización universal, impulsada por el comerciante, sea esencial, no solo para proteger a los clientes, sino también para mantener el cumplimiento de PCI.

“El mandato de 2030 es más una obligación de convertir un PAN en un token de red porque no veo que los PAN desaparezcan completamente del ecosistema para entonces,” dijo Cook. “Las billeteras digitales seguirán expandiéndose porque los comerciantes comenzarán a recibir más tokens de red a través de vías o rieles que están fuera de su control.”

“Pero todavía habrá momentos en que alguien del otro lado de la brecha digital que no ha adoptado una billetera digital intentará procesar con su PAN,” agregó. “En esos escenarios, la responsabilidad será del comerciante tener las vías para convertir los PAN en tokens de red cuando los reciba.”

Desarrollando confianza agentica

Una estrategia de tokenización más proactiva se vuelve crucial a medida que el ecosistema de pagos se acerca a otro punto de inflexión: el auge de la IA agentica. Estos agentes autónomos están listos para convertirse en una interfaz de compra convencional.

“Estamos pasando de una credencial de pago —históricamente el PAN— a una proliferación de credenciales de pago y una línea de vista de dónde provienen,” dijo Cook. “¿Cómo sabes en qué confiar y en qué no? ¿Cómo distingues entre un agente con permiso y un bot que visita tu sitio web?”

“Una de las cosas principales es asegurarte de que tus datos estén almacenados de manera que el agente pueda acceder a ellos y compartir con el consumidor en el otro lado de esa búsqueda,” explicó. “No tener tus datos en el formato correcto o que puedan ser recogidos de cierta manera será un gran desafío para que tu empresa mantenga la vista de tu consumidor, a medida que una nueva capa media gestione la interacción.”

Esto resalta un nuevo desafío central: la confianza. Los comerciantes deben verificar no solo al consumidor, sino también al agente de IA actuando en su nombre, junto con los permisos y la intención detrás de cada transacción. Satisfacer esta necesidad requerirá infraestructura nueva capaz de evaluar y gestionar el riesgo agentico.

Los tokens pueden jugar un papel clave creando límites en la actividad impulsada por agentes. Los comerciantes deben comenzar a prepararse ahora para soportar marcos de tokens listos para agentes.

“Recuerda, es solo una versión diferente de un token de red, que son solo credenciales de pago,” dijo Cook. “La tokenización universal debe entenderse como, ‘Estoy a punto de ser bombardeado con credenciales de pago que persisten en el esquema. No controlo su uso; no controlo la relación; estas cosas no fueron creadas pensando en mí. ¿Qué fue creado pensando en mí? ¿Cuál es mi herramienta para anclarme?’ Esa es la tokenización universal.”

“Esa es la estrategia que recomendaría a los comerciantes para protegerse,” agregó. “Asegurarse de tener vista clara de quién es quién y contar con algo que puedan integrar directamente en su ecosistema sin tener que reestructurar toda su pila de pagos para ser relevantes en el mundo del comercio agentico.”

Las tácticas están cambiando

La rápida evolución de los pagos, especialmente la aceleración de la IA generativa y agentica, ha generado urgencia en muchos comerciantes para modernizarse. Aunque adoptar nuevas tecnologías es importante, la estrategia debe mantenerse fundamentada.

“Si retrocedemos 10 años, estábamos en la misma situación con la tokenización, y todos se apresuraron a tokenizar como una medida de seguridad provisional — solo para descubrir más adelante que ahora necesito una estrategia más holística sobre cómo uso los tokens y qué beneficios me aportan más allá de la seguridad,” dijo Apgar.

“Eso es exactamente donde estamos con la IA,” agregó. “Mi consejo para los comerciantes sería frenar la conversación y entender qué significa la IA para su negocio, sus clientes y la seguridad de sus datos, y tratar de definir una estrategia para todo esto.”

En su esencia, cualquier hoja de ruta de tokenización debe ser una extensión natural de la misión más amplia de la empresa: proteger a los clientes, optimizar el rendimiento y mantener el control en un ecosistema dinámico.

“Estamos hablando de consumidores haciendo una compra y comerciantes recibiendo una credencial de pago y manteniendo la vista en su cliente para programas de fidelidad, seguridad, etc.,” dijo Cook. “Esto es lo que siempre hemos hecho; las tácticas simplemente están cambiando. Esto es gestión del cambio. ¿Estás atento a los cambios? ¿Ves los ajustes incrementales que ocurren y te adaptas en el camino?”

“Si tienes un enfoque rígido en tu pila de procesamiento, eso será perjudicial,” concluyó. “Al final del día, nadie puede ver qué hay al otro lado de la línea de 2030. Lo mejor que puedes hacer es crear una pila de pagos flexible y preparada para el futuro, para estar listo para cualquier credencial de pago que llegue del otro lado.”