¿Qué es IPsec? Internet Protocol Security explicado

IPsec (Internet Protocol Security) es un conjunto de protocolos de capa de red que autentica y cifra cada paquete IP que viaja entre dos extremos. Funciona en dos modos: el modo transporte protege solo la carga útil del paquete y se usa host a host, mientras que el modo túnel envuelve todo el paquete dentro de uno nuevo y es lo que sostiene las VPN site-to-site y de acceso remoto. El Requisito 4 de PCI DSS lista la VPN IPsec como una forma aceptable de transmitir datos del titular por redes públicas, por lo que sigue siendo la base de la mayoría de los enlaces con adquirentes y procesadores.

IPsec, a veces llamado VPN a nivel de IP, se sitúa por debajo de la capa de aplicación. Esa es la parte que importa para los pagos. TLS protege una única conexión de aplicación (una petición HTTPS, una llamada de API). IPsec protege cada paquete que sale de una red hacia otra, sin importar qué aplicación lo envió. Así, cuando el centro de datos de un comercio habla con su procesador por un enlace privado, un túnel IPsec puede transportar a la vez tráfico de autorización, ficheros de liquidación, conciliación por lotes y tráfico de gestión, sin que cada aplicación tenga que preocuparse de su propia criptografía.

Cómo funciona IPsec en la práctica

Tres componentes hacen el trabajo. El Authentication Header (AH) confirma que un paquete no ha sido manipulado y que viene de quien dice, pero no lo cifra. El Encapsulating Security Payload (ESP) es el que usan la mayoría de los despliegues: cifra la carga útil (y, en modo túnel, todo el paquete) y también puede autenticarlo. El Internet Key Exchange versión 2 (IKEv2) es la capa de negociación: es como los dos extremos se ponen de acuerdo sobre qué cifrados usar, demuestran su identidad y rotan las claves antes de que envejezcan.

Una vez que el túnel está levantado, los paquetes se reescriben al salir y se reescriben de vuelta al entrar. Quien esnife el tráfico público entre los dos sitios solo verá blobs cifrados con las IP públicas de las dos pasarelas: no puede saber si se trata de una autorización de tarjeta o del correo de alguien.

Dónde aparece IPsec en pagos

El procesamiento de tarjetas lleva usando IPsec buena parte de dos décadas, sobre todo porque los adquirentes querían conectividad privada con sus comercios sin el coste de líneas dedicadas reales. Un patrón típico se ve así:

• Centro de datos del comercio al adquirente o procesador: el clásico túnel IPsec site-to-site, que suele transportar mensajes de autorización ISO 8583, lotes de liquidación y ficheros de contracargos
• Estado de POS a sede central: los routers de las tiendas terminan un túnel IPsec contra un concentrador central, de modo que los datos de tarjeta capturados en caja nunca cruzan internet en claro
• Carga en cloud a on-prem: cuando una app de pago corre en una VPC y necesita hablar con un CRM o un libro mayor legado on-prem
• Ingeniero remoto a producción: algunos procesadores siguen exigiendo VPN IPsec de acceso remoto antes de poder llegar al plano de gestión de los sistemas de tarjeta

Para un evaluador PCI DSS, un túnel IPsec es una de las formas más fáciles de satisfacer el Requisito 4. El conjunto de cifrados tiene que ser actual (AES-GCM, SHA-256 o mejor, RSA de 2048 bits o ECDSA para la autenticación IKE; DES, MD5 y grupos Diffie-Hellman débiles están descartados), las claves tienen que rotar y debes poder demostrarlo todo. Pero es un camino muy trillado.

IPsec frente a TLS

La respuesta honesta es que la mayoría de las nuevas integraciones de pago se saltan IPsec y usan TLS 1.2 o 1.3 sobre HTTPS. Es más simple: no hay que provisionar túneles, ni dolores de cabeza con NAT-traversal, ni intercambio de certificados entre dos firewalls. Una llamada REST a un adquirente sale por internet protegida por TLS, igual que cualquier otro tráfico web.

Donde IPsec sigue ganando es en los enlaces más antiguos y más cargados. Un túnel site-to-site es una sola pieza de infraestructura que protege cientos de flujos; con TLS habría que configurar, monitorizar y renovar cada uno. Así que verás TLS en las nuevas APIs de pasarela e IPsec en los enlaces legados de autorización y batch 24/7 que los procesadores no tienen prisa por replantear.

Qué significa para los pagos telefónicos

Para Paytia y para otras plataformas de pago en centros de contacto, IPsec rara vez aparece en la ruta de cara al cliente: eso es todo TLS hoy en día. Donde sí importa es en el tramo back-end: los datos de tarjeta cifrados que salen de nuestro entorno PCI DSS Nivel 1 hacia el banco adquirente. Si ese salto va por IPsec o TLS depende enteramente de la preferencia del adquirente, y varios de los grandes adquirentes del Reino Unido siguen exigiendo IPsec para los flujos de tarjeta en producción.