¿Qué es un Network Token?

Un network token es un valor con forma de número de tarjeta emitido por Visa o Mastercard (o Amex o Discover) que sustituye al PAN real en las transacciones. Visa llama a su programa Visa Token Service (VTS); Mastercard llama al suyo Mastercard Digital Enablement Service (MDES). Un network token es funcionalmente un número de tarjeta: tiene la misma longitud, el mismo checksum y el mismo BIN, pero pasa por la bóveda de tokens de la red antes de llegar al emisor, y está limitado a un comercio o wallet concretos en lugar de a la cuenta real del titular. Lo crucial: cuando la tarjeta subyacente se reemite, se pierde o se sustituye, la red actualiza el token en segundo plano, así que el comercio no tiene que perseguir al cliente para que aporte nuevos datos. Es la pieza de infraestructura de datos de tarjeta más importante de la que casi nadie ha oído hablar.

Si has usado Apple Pay, Google Pay o Click to Pay, ya has usado network tokens: es el formato de datos que circula por debajo en los tres. Se han convertido silenciosamente en la forma por defecto de almacenar datos de tarjeta en la mayoría de los grandes comercios de e-commerce, negocios de suscripción y apps de ride-share. La razón no es teatro de cumplimiento; es que las tasas de autorización mejoran de forma medible y los quebraderos del ciclo de vida disminuyen de forma medible cuando el comercio guarda un network token en lugar de un PAN en bruto.

Qué Es (y Qué No Es) un Network Token

Un network token lo emite la bóveda de tokens de la red de tarjetas: VTS en Visa, MDES en Mastercard. Tiene aspecto de número de tarjeta normal: 16 dígitos (o 15 en Amex), checksum Luhn válido y un BIN perteneciente al emisor. El comercio guarda el token en lugar del PAN real. Cuando el comercio envía una solicitud de autorización, la red reconoce el token, lo destokeniza dentro de sus propios sistemas y reenvía la solicitud al emisor con el número de tarjeta real. El emisor nunca ve el token; el comercio nunca ve el PAN real.

Lo que no es: un token de PSP. Los tokens de PSP son lo que tu pasarela de pagos te devuelve cuando le pides que tokenice una tarjeta —los identificadores cus_xxx de Stripe, las referencias de vault de Worldpay, los nonces de payment-method de Braintree—. Cumplen la misma función de compliance (el comercio no guarda el PAN) pero son propietarios de esa pasarela y solo tienen sentido dentro de ella. Si mueves el token a otra pasarela, no funciona. Los network tokens funcionan en todos los sitios donde se acepta la marca de tarjeta, porque la bóveda de tokens está a nivel de red, por encima de cualquier procesador concreto.

Por Qué los Network Tokens Elevan las Tasas de Autorización

Esta es la parte que le importa a un CFO. Las redes publican cifras de mejora de autorización para transacciones tokenizadas y se sitúan de forma consistente en el rango del 2-4%. El mecanismo es sencillo.

Cuando el emisor ve entrar una solicitud de autorización, pasa los datos de la tarjeta y el contexto de la transacción por su motor de riesgo. Un PAN tecleado sin contexto adicional (una transacción sin presencia de tarjeta con los datos guardados sin más en la base de datos del comercio) es el perfil de mayor riesgo que ve el emisor. Un network token, en cambio, lleva metadatos que indican que se aprovisionó por un canal autenticado —Click to Pay, Apple Pay, una inscripción verificada de card-on-file— y que la red lo ha mantenido al día. El motor de riesgo del emisor lo trata de forma más favorable. La misma transacción que podría haberse rechazado como sospechosa con un PAN en bruto se aprueba con un network token.

El efecto se acumula en los negocios de suscripción. Una suscripción mensual con modelo de card-on-file sufre rechazos por reemisión de tarjeta, rechazos por tarjeta caducada y rechazos por sospecha de fraude de forma recurrente. Cambia a network tokens y el servicio de ciclo de vida de la red actualiza el token de forma silenciosa cuando se reemite la tarjeta subyacente, así que la renovación se cobra sin que el cliente se entere. La pérdida involuntaria de clientes por facturación rota baja de forma medible.

Network Tokens frente a Tokens de PSP

La forma más limpia de verlo es por capas. Un token de PSP es propiedad de tu pasarela. Un network token es propiedad de la red de tarjetas. El flujo de datos queda así:

Con un token de PSP, la pasarela guarda el PAN real en su bóveda, entrega al comercio una referencia y destokeniza esa referencia dentro de sus propios sistemas en su camino hacia la red. Si el comercio cambia de pasarela, hay que pasarle a la nueva los PAN reales (una migración puntual que requiere cooperación entre ambas pasarelas, más evidencias PCI) y los tokens antiguos quedan inservibles.

Con un network token, la bóveda de la red de tarjetas guarda el mapeo canónico, la pasarela y el comercio trabajan ambos con el token, y un cambio de pasarela es un no-evento desde el punto de vista del token: el token sigue funcionando en la nueva pasarela porque quien lo destokeniza es la red, no la pasarela. El vendor lock-in desaparece.

La mayoría de las pasarelas modernas ofrecen ya network tokens como opción sobre sus propios tokens de PSP: Stripe, Adyen, Braintree, Worldpay y otros lo tienen. Cuando importe, pregunta explícitamente si estás guardando un token de PSP o un network token; la diferencia es lo que aparece en tu balance dentro de dos años si alguna vez quieres cambiar de procesador.

Ciclo de Vida: Qué Pasa Cuando se Reemite una Tarjeta

Este es el beneficio infravalorado. Las tarjetas se reemiten por todo tipo de motivos —caducidad, pérdida, reset por fraude, cambio de diseño— y, históricamente, eso significaba que el card-on-file guardado del comercio dejaba de funcionar hasta que el cliente lo actualizaba manualmente. Los negocios de suscripción perdían ingresos relevantes por esto; las apps de ride-share y reparto de comida dedicaban tiempo de ingeniería a avisos de «por favor, actualiza tu tarjeta».

Los network tokens lo resuelven en origen. Cuando el emisor reemite una tarjeta, se lo dice a la red. La red actualiza cada network token mapeado al PAN antiguo para que apunte al nuevo PAN. El token guardado en el comercio no cambia, pero la siguiente autorización contra él se enruta a la nueva tarjeta automáticamente. El cliente no se entera de nada.

Las redes llaman a esto token lifecycle management. Es la característica más valiosa para los comercios de card-on-file y la que con más probabilidad justifica el business case de migrar a network tokens.

Qué Transacciones Reciben un Network Token

Los network tokens se generan cuando una tarjeta se enrola a través de un canal autenticado. Apple Pay, Google Pay y Samsung Pay usan network tokens por diseño: añadir una tarjeta a la wallet aprovisiona un token específico del dispositivo, y eso es lo que se transmite en el punto de pago. Toda transacción SRC también genera uno. Y para card-on-file en grandes comercios de e-commerce, la pasarela enrola la tarjeta con la red en el primer uso y guarda el network token en lugar de (o junto a) su propio token de PSP. Lo que no genera uno automáticamente: un guest checkout puntual donde el cliente teclea el número de tarjeta una sola vez y no lo guarda.

El Ángulo PCI DSS

Los network tokens, como cualquier enfoque de tokenización, sacan los datos de tarjeta del entorno del comercio. El comercio guarda un token; el PAN real reside en la bóveda de la red. Eso pone al comercio aproximadamente en la misma situación de alcance de PCI DSS que uno que usa un checkout totalmente alojado: territorio SAQ A en lugar de SAQ D.