¿Qué es el Enmascaramiento DTMF?

El enmascaramiento DTMF oculta los tonos del teclado que un cliente teclea durante un pago telefónico. Cada tono Dual-Tone Multi-Frequency (DTMF, multifrecuencia de doble tono) se detecta en cuanto el cliente pulsa una tecla, se sustituye en el flujo de audio por un pitido plano de 425 Hz y el dígito real se enruta por un canal seguro separado directamente al procesador de pagos. El agente y la grabación de la llamada solo oyen pitidos; el número de tarjeta no entra nunca en el centro de contacto. También se le llama supresión DTMF, captura segura de DTMF o tone masking, y es la forma más limpia que conocemos de llevar un centro de contacto del SAQ D (329 controles) al SAQ A (22 controles) sin desmontar la ruta de llamada existente.

El enmascaramiento DTMF se sitúa entre el teléfono del cliente y los auriculares del agente, en la propia ruta de audio. Cuando el cliente teclea un dígito, el enmascarador reconoce el evento DTMF en tiempo real, captura el dígito por un canal cifrado fuera de banda que va directamente a la pasarela de pagos y sustituye en el audio que oyen los demás un tono uniforme. El cliente oye en su teléfono su propia pulsación con normalidad. El agente oye un pitido —mismo tono, misma duración, igual para cada dígito— por lo que no hay nada que decodificar. La grabación de llamada captura ese mismo tono plano, lo que significa que no hay pausa y reanudación, ni deuda de redacción, ni datos de tarjeta sentados en archivos antiguos. Algunos proveedores llaman al mismo control supresión DTMF o captura DTMF asistida por agente; la implementación puede situarse en el SBC, en el IVR o en un puente de medios alojado, pero el resultado es el mismo: los datos del titular de la tarjeta nunca entran en tu entorno, así que tu entorno queda fuera del alcance de PCI DSS.

Por qué importa el enmascaramiento DTMF

Si tu empresa acepta pagos con tarjeta por teléfono, los tonos del teclado que el cliente teclea son el eslabón más débil. Cualquiera con un trozo de software de audio gratuito puede decodificar esos tonos y leer el número de tarjeta directamente de la grabación de llamada. No es un riesgo teórico: es la fuga más común de datos de pagos telefónicos que vemos cuando damos de alta a nuevos clientes. El enmascaramiento DTMF cierra ese agujero en la capa de audio: los tonos no llegan nunca a los auriculares del agente, a la grabación ni a ningún sistema dentro de tu centro de contacto. Bien hecho, recorta tu alcance de PCI DSS de SAQ D a SAQ A y elimina la necesidad de pausar y reanudar la grabación. Es el control más grande que puedes poner entre un pago telefónico y tu responsabilidad de auditoría.

Enmascaramiento DTMF, explicado

DTMF son las siglas de Dual-Tone Multi-Frequency. Cada tecla de un teclado telefónico produce un par único de frecuencias de audio: así es como la red sabe que has pulsado el 5 y no el 6. Esos tonos son deliberadamente fáciles de decodificar, porque ese era todo el punto: una centralita telefónica de los años 60 necesitaba identificar el dígito a partir de una línea analógica ruidosa. El lado oscuro es que cualquiera que tenga el audio se queda con los dígitos.

El enmascaramiento funciona interceptando el audio de la llamada en la capa SIP o de medios antes de que llegue al agente. Cuando el cliente pulsa una tecla, el enmascarador reconoce el evento DTMF, captura el dígito por un canal seguro aparte que va directamente a la pasarela de pagos y sustituye en el flujo de audio que oye el agente un único tono plano. El cliente oye su propia pulsación con normalidad en su teléfono. El agente oye un pitido uniforme: mismo tono cada vez, sin filtrar información. La grabación captura el mismo pitido plano. Aunque mañana cayera comprometido cada sistema dentro de tu empresa, los dígitos no están ahí para que nadie los robe.

Cómo funciona el enmascaramiento DTMF en la práctica

Imagina una llamada típica asistida por agente. El cliente llama para pagar una factura. El agente confirma el importe y los detalles del pedido y luego dice: «Voy a iniciar el pago seguro ahora; por favor, teclea el número largo de tu tarjeta con tu teléfono». El agente pulsa un botón para pasarle la llamada al enmascarador.

A partir de aquí pasan tres cosas a la vez. El cliente teclea los dígitos en su teléfono exactamente como siempre lo ha hecho. El enmascarador captura cada dígito y lo envía directamente a la pasarela de pagos por un canal seguro: tus sistemas no lo ven en ningún momento. Y el audio que oye el agente se sustituye por un tono plano en cada pulsación, por lo que la grabación se mantiene limpia. Cuando el cliente termina, la pasarela devuelve el resultado de la autorización, el agente recibe un tic verde en su pantalla y la llamada vuelve a la conversación normal. El agente permanece en línea todo el tiempo: sin transferencias, sin música en espera, sin silencios incómodos.

Por qué importa para PCI DSS

El alcance de PCI DSS lo determina cuáles de tus sistemas «almacenan, procesan o transmiten» datos del titular de la tarjeta. Un pago telefónico tradicional mete dentro del alcance los auriculares del agente, su PC, la plataforma de telefonía y el archivo de grabaciones de llamada: ese es el cuestionario SAQ D completo y unos 329 controles que hay que evidenciar cada año. Con el enmascaramiento DTMF hecho en la capa de audio, los dígitos no entran nunca en ninguno de esos sistemas, así que quedan fuera de alcance. Te quedas con SAQ A y unos 22 controles. La auditoría se acorta, la factura por jornada del QSA se reduce y tu equipo de ingeniería deja de pasarse el Q4 remediando.

Los detalles legales y de cumplimiento para el Reino Unido y la UE están en nuestra página de cumplimiento PCI DSS. La versión corta: el enmascaramiento DTMF es la forma más limpia de sacar un centro de contacto del alcance de los datos de tarjeta, y el PCI Security Standards Council lo trata así desde el suplemento informativo de 2011 sobre la protección de los datos de tarjeta de pago basados en teléfono.

Enmascaramiento DTMF frente a separación de canales

Hay dos formas arquitectónicas de mantener los datos de tarjeta fuera de un centro de contacto en una llamada: el enmascaramiento DTMF y la separación de canales. Resuelven el mismo problema con distinta plomería. El enmascaramiento DTMF se sitúa en la ruta de audio y sustituye los tonos en línea; el agente permanece en la misma llamada. La separación de canales enruta al cliente a un canal seguro paralelo —normalmente un IVR o un bot de pago— durante la captura de la tarjeta y luego lo trae de vuelta. Ambos funcionan. Hemos escrito una comparativa lado a lado en enmascaramiento DTMF frente a separación de canales; la respuesta correcta depende de tu flujo de llamada, de tu carga de formación al agente y de si quieres al agente en vivo con el cliente durante la introducción de la tarjeta.

Enmascaramiento DTMF y grabación de llamadas

Una de las victorias infravaloradas del enmascaramiento en la capa de audio es lo que hace con la grabación de llamadas. Sin enmascaramiento, te quedan dos opciones malas: dejar los números de tarjeta en la grabación (pesadilla PCI) o pausar y reanudar el grabador durante la introducción de la tarjeta (frágil operativamente, malo para la auditoría y un modo de fallo común en sectores regulados que necesitan registros completos para disputas o calidad). El enmascaramiento elimina esa elección. La grabación captura toda la llamada sin interrupciones, pero lo único que hay en el audio donde solían estar los dígitos es un tono plano. El control de calidad sigue funcionando. Las obligaciones de grabación de llamadas de la FCA se mantienen intactas. Y no hay «deuda de redacción» acumulándose en grabaciones antiguas que necesiten ser borradas antes de que alguien ejerza una solicitud de acceso.

Consideraciones prácticas

Si estás evaluando un proveedor de enmascaramiento DTMF, las preguntas que merece la pena hacer son: ¿dónde ocurre el enmascaramiento? ¿En la capa SIP, en el SBC o en un puente de medios alojado? ¿Qué hace con teclados internacionales y dispositivos de accesibilidad que envían DTMF de forma distinta? ¿Funciona en modo IVR además del asistido por agente, de modo que una sola integración cubra ambos tipos de llamada? ¿Y cómo entrega el agente la llamada al enmascarador? ¿Con un botón en un softphone, con un evento CTI desde la plataforma del centro de contacto o con algo que el agente tiene que acordarse de hacer manualmente? Lo último importa más de lo que la gente piensa; la fricción del agente es donde la mayoría de los despliegues de enmascaramiento pierden cumplimiento en silencio.

También merece la pena comprobar qué pasa cuando la capa de enmascaramiento no es accesible. La respuesta correcta es que la llamada falle en cerrado: el agente no puede aceptar accidentalmente un pago con tarjeta en audio claro porque la plataforma se ha negado a iniciar la sesión segura. La respuesta incorrecta es que vuelva a DTMF plano y no se lo cuente a nadie.