Más allá del antivirus: ¿Por qué las empresas están adoptando la tokenización para proteger su información más sensible?

En un contexto donde el aumento de los ciberataques en Colombia ha encendido las alarmas del sector privado y del Estado, una técnica poco explorada pero cada vez más urgente está ganando terreno entre las empresas: la tokenización. No se trata de un antivirus ni de una app de respaldo, es un proceso criptográfico que sustituye datos sensibles —como información financiera, de clientes o propiedad intelectual— por tokens no explotables, inutilizables por los atacantes.

El último informe de la Cámara Colombiana de Informática y Telecomunicaciones (CCIT) reporta que, en lo corrido del primer semestre de 2025, el país ha registrado más de 25 millones de intentos de ciberataque, especialmente dirigidos a bancos, entidades públicas y plataformas de e-Commerce. Bajo este panorama, las compañías ya no se preguntan si serán atacadas, sino cuándo y cómo van a proteger lo más valioso: sus datos.

“Los métodos de cifrado tradicionales ya no bastan. Hoy se pueden revertir con tecnologías avanzadas, por eso la tokenización es una respuesta clave”, explica Ricardo López, docente de ciberseguridad para Infinited Areandina.

 

Qué es y cómo funciona la tokenización, le explicamos

 

A diferencia del cifrado, que oculta la información con una clave reversible, esta tecnología reemplaza el dato real con un equivalente ficticio —el token— que no tiene ningún valor en sí mismo y que está vinculado al original solo desde una bóveda de seguridad, inaccesible sin permisos específicos.

“Es como guardar dinero en una caja fuerte y solo entregar a los usuarios fichas simbólicas que no sirven fuera de ese sistema. Si un hacker roba el token, no puede hacer nada con él”, afirma López.

Esta técnica ya está siendo adoptada por empresas que manejan datos financieros, entre números de tarjetas y cuentas bancarias, información médica, historial crediticio o propiedad intelectual, como códigos fuente, diseños y fórmulas. “La tokenización alcanza a cubrir cualquier tipo de información crítica que no debería estar expuesta en sistemas abiertos”, afirma el docente de Infinited Areandina.

De hecho, actualmente grandes firmas tecnológicas ya la están integrando esta ‘tech’ en sus protocolos. Y en Colombia, según la CCIT, más de 300 compañías están en proceso de implementación de técnicas avanzadas como esta, muchas de ellas en sectores como salud, retail, Fintech y logística.

¿Cómo implementarla y qué errores evitar?

 

La tokenización, aunque poderosa, requiere planeación y conocimiento técnico. El primer paso es seleccionar una solución compatible con los sistemas existentes, definir qué tipo de información se quiere proteger y cómo será sustituida por tokens. Luego, se deben integrar APIs, adaptar bases de datos y establecer niveles de acceso rigurosos.

“La seguridad ya no está en el perímetro, sino en los datos. Y esa bóveda donde se guardan los tokens debe ser tan fuerte como una caja de seguridad bancaria. Solo personal autorizado debe tener acceso”, agrega López.

Otro paso crucial es la auditoría continua. Las organizaciones deben hacer pruebas de pentesting (simulacros de ataque) y cumplir con estándares internacionales de seguridad como PCI DSS o ISO 27001. “La seguridad no es estática. Es una práctica en evolución que requiere monitoreo constante. Cada nueva amenaza obliga a actualizar los protocolos”, sostiene el experto.

Pero también hay errores comunes que las compañías deben evitar. Según el experto, el primero es asumir que con implementar un sistema ya es suficiente. “Muchas veces hacen la tokenización, pero no realizan seguimiento ni ejecutan pruebas, o la implementan solo en un segmento de su operación. Eso deja puertas abiertas”.

Otro error es descuidar el entrenamiento del talento humano. “La ciberseguridad empieza por la gente. Si el personal no entiende cómo funciona, puede generar fugas involuntarias”, advierte.

 

Un escudo para la era digital

Para las Pymes, que suelen ser las más vulnerables, la tokenización puede sonar lejana o costosa. Sin embargo, en el mercado colombiano ya hay soluciones escalables, incluso en modalidad SaaS (Software como Servicio), que permiten adoptar esta tecnología sin grandes inversiones iniciales.

“Hoy, cualquier empresa que maneje datos sensibles debería considerar esta técnica. No es un lujo, es una necesidad”, concluye López.

El mensaje es claro: proteger la información es cuidar el negocio. La tokenización no reemplaza a los antivirus ni a los firewalls, pero si puede ser la pieza que le falta a la estrategia de seguridad de muchas empresas. En una época donde los cibercriminales evolucionan cada día, la respuesta debe ser igual de sofisticada.