TU PROPIA ARQUITECTURA DE DATOS
Arquitectura de First-Party Data y Medición
sGTM, Conversion API, data lake en BigQuery/Snowflake, Consent Mode v2 + TCF 2.2, identity resolution y reverse ETL — la infraestructura de datos de las marcas que ganan en el mundo post-cookie de terceros, con disciplina de ingeniería desde cero.
No entramos en la era de la muerte del pixel, sino en la era en que la propiedad del dato es obligatoria; la infraestructura es trabajo de ingeniería, no un SaaS plug-and-play.
Con Consent Mode v2, iOS 17 ATT, los cambios de cookies en Chrome y TCF 2.2, la señal que llega a las plataformas publicitarias se ha erosionado en promedio entre un 40 % y un 60 %. La mayoría de las marcas, sin darse cuenta, han creado data lakes paralelos con múltiples herramientas SaaS; cada herramienta tiene un ID distinto, una interpretación de consentimiento distinta y un esquema de eventos distinto. La operación first-party de Roibase se construye sobre seis principios que eliminan esta fragmentación; cada principio no es un SaaS, es un estándar de ingeniería.
Roibase perspective
METODOLOGÍA
AUDIT → DESIGN → DEPLOY → VALIDATE → GOVERN → HANDOFF — disciplina de ingeniería
La arquitectura de datos no es un proyecto de gestión de tags, es una plataforma de larga vida. El proceso de seis fases deja cada decisión escrita, testeable y transferible.
01
01
AUDIT
Audit del GTM client-side actual, GA4, pixel, CMP, implementación de consent, flujo de datos y visibilidad de facturación; se cuantifica la pérdida de señal, las violaciones de consent y los duplicados de datos.
02
02
DESIGN
Se diseñan event taxonomy, estrategia de identity, política de consent, arquitectura de warehouse y data contracts; se obtiene la aprobación de stakeholders (legal, IT, marketing, datos).
03
03
DEPLOY
Se pone en producción el contenedor sGTM, los endpoints CAPI, la configuración de Consent Mode v2, el streaming al warehouse y los modelos dbt; se mitiga el riesgo con blue/green deployment.
04
04
VALIDATE
Se corren la arquitectura antigua y la nueva en paralelo con shadow mode + dual tracking; no hay cutover hasta que la event parity sea del 99 % o superior; checklist de QA con más de 120 puntos.
05
05
GOVERN
Se activan schema registry, PII tagging, retención, RBAC, audit log y reportes de compliance; el comité de gobierno de datos se reúne con cadence mensual.
06
06
HANDOFF
Formación hands-on de 3 semanas para tu equipo + runbook + 6 meses de soporte asíncrono; se entrega por escrito la rotación de alertas críticas y el SLA.
— COMPARACIÓN
In-house vs agencia SaaS-dependiente vs ingeniería de datos Roibase
La diferencia concreta entre los tres enfoques en propiedad del dato, cumplimiento de consent, profundidad de ingeniería y coste total.
| Dimensión | In-house mínimo | Agencia SaaS-dependiente | Ingeniería Roibase |
|---|---|---|---|
| Propiedad del dato | Fragmentada (cada herramienta con su DB) | En el proveedor SaaS | En tu propio warehouse |
| sGTM + CAPI | Parcial (solo client) | Inexistente o gestionado por el vendor | En tu propia infraestructura, propiedad total |
| Consent Mode v2 + TCF 2.2 | Integración básica | CMP preconfigurado, sin adaptación | Política escrita + legal review + test |
| Identity resolution | Inexistente o solo email | Vendor black-box | Modelo abierto determinístico + probabilístico |
| PII governance + audit log | Ad-hoc | Contractual, no operacional | Runbook + reporte de compliance mensual |
| Data contracts + schema registry | Inexistente | Atado al schema del SaaS | Versionado, testeable, propio |
| Reverse ETL + activación | CSV manual | Atado al SaaS | Warehouse-native, elección libre |
| Coste anual total | 50-120k€ (SaaS fragmentado) | 120-250k€ (agencia + licencias) | 80-180k€ (implementación + warehouse) |
PROOF
Outcomes, measured
+45 %
Recuperación de señal
Recuperación de conversiones no atribuidas tras iOS 14+/ATT mediante sGTM + CAPI.
94 %
Tasa de cumplimiento de consent
Distribución aceptable de consent state tras TCF 2.2 + Consent Mode v2.
12
Consolidación de herramientas
Número típico de herramientas SaaS de datos/analítica que se unifican en un cliente medio.
0 €
Coste mensual de licencias de datos
En tu propio warehouse — solo coste de query + storage; sin licencias SaaS por asiento.
8
Semanas de implementación
Timeline típico desde el audit hasta el shadow mode en un cliente de tamaño medio.
99,8 %
Tasa de entrega de eventos
Tasa media de éxito de entrega de eventos tras la configuración dual-path sGTM + CAPI.
WHAT WE DO
Engagement scope
Every offering is an outcome-based work package. Roibase blends strategy and execution inside a single team — no hand-offs.
01 / 10
Server-side GTM (sGTM)
Tu propio contenedor sGTM en Google Cloud Run / AWS Fargate: la propiedad del dato es tuya, sin vendor lock-in, se reduce la carga en cliente; la redacción de PII ocurre en el servidor.
02 / 10
Consent Mode v2 + TCF 2.2
Integración de CMP compatible con IAB TCF 2.2, emisión dinámica de señales ad_user_data + ad_personalization según el consent state; separación de ‘legal basis’ KVKK/RGPD con política escrita.
03 / 10
Conversion API (CAPI)
Eventos de conversión server-side para Meta, Google, TikTok, Pinterest; hashed PII + event deduplication; 30-50 % de recuperación de señal y cumplimiento de iOS 14+/ATT.
04 / 10
Data lake BigQuery / Snowflake
Streaming de eventos en crudo + modelos dbt + semantic layer + visualización con Looker Studio/Metabase/Looker; incluye partition + clustering + cost optimization.
05 / 10
Identity resolution
Identity graph determinístico (login, email hash) + probabilístico (device fingerprint, household); una sola identidad para el cross-device journey y la atribución cross-channel.
06 / 10
CDP readiness
Integración con Segment / RudderStack / mParticle o CDP warehouse-native (Census, Hightouch) con líneas de reverse ETL; elegimos el CDP con una evaluación independiente.
07 / 10
Reverse ETL y activación
Transferencia automática de segmentos calculados (churn risk, LTV tier, product affinity) a Meta Custom Audience, Google Customer Match, Klaviyo, HubSpot, Braze.
08 / 10
Reconstrucción de Customer Match
Reconstrucción de lookalike + retargeting con hashed PII + CAPI; infraestructura que sostiene el rendimiento de las plataformas de ads en un mundo sin pixel.
09 / 10
Schema registry + PII governance
Esquema de eventos versionado y testeable; los campos PII se etiquetan, se aplica política de retención + masking; monitoreo de calidad de datos con alarmas de schema drift.
10 / 10
Audit log + monitoreo de accesos
Se registra quién accedió a qué dato, cuándo y con qué propósito; role-based access control (RBAC), data contracts y reporte de compliance mensual automático.
— BENEFICIOS
El retorno concreto y medible de la propiedad del dato
La arquitectura first-party no es solo compliance; es una palanca directa sobre el rendimiento publicitario, el entendimiento del cliente y la velocidad del equipo.
+45 % señal
Recuperación de señal publicitaria
Con Meta/Google/TikTok CAPI recuperas un 30-50 % de señal; la velocidad de aprendizaje y la calidad de optimización de las plataformas mejoran notablemente.
−52 % gasto SaaS
Bajan los costes de herramientas
El stack SaaS fragmentado se consolida en un único warehouse + capa dbt; el gasto anual en licencias cae un 40-60 %.
+38 % velocidad de decisión
Tu equipo gana velocidad
Con un semantic layer self-serve, cada unidad de negocio responde sus propias preguntas; el data team pasa de cuello de botella a enabler.
100 % audit-ready
Consent cumplido por escrito
TCF 2.2 + Consent Mode v2 + política KVKK auditada y testeable; tu ‘evidence file’ está listo para cualquier inspección legal.
+28 % precisión de atribución
Journey cross-channel visible
Con identity resolution obtienes un user journey independiente de dispositivo/canal; los modelos de atribución y los análisis de cohort se ejecutan sobre datos integrales.
Runbook + RACI
Gobierno de datos sostenible
Schema registry, PII tagging, retención, RBAC, audit log — se entregan a tu equipo con runbook + reporte de compliance mensual.
ENTREGABLES
Entregables concretos y por escrito para cada proyecto first-party
Arquitectura, código, configuración, documentación y formación — cada entregable se versiona y se transfiere a tu equipo.
Reporte de signal audit
Evaluación cuantitativa de la pérdida de señal, las violaciones de consent y la duplicación de herramientas, de 40-60 páginas.
Event taxonomy y data contracts
Nombres, propiedades, propietarios, versión de schema y reglas de backward compatibility de todos los eventos.
Implementación del contenedor sGTM
sGTM en producción sobre Google Cloud Run / AWS Fargate, blue/green deployment + pipeline CI/CD + plan de rollback.
Integraciones CAPI
Eventos de conversión server-side para Meta, Google, TikTok, Pinterest; event deduplication + hashed PII + error handling.
Consent Mode v2 + política CMP
Configuración de CMP compatible con IAB TCF 2.2, señales dinámicas ad_user_data/ad_personalization, política de consent escrita + legal review.
Warehouse BigQuery/Snowflake
Pipeline de streaming de eventos en crudo, partition + clustering, cost optimization, monitoring + alerting.
Modelos dbt + semantic layer
Capas staging → intermediate → marts, tests dbt, exposures, lineage graph + sitio de documentación.
Pipeline de identity resolution
Reglas de matching determinístico + probabilístico, household detection, tabla cross-device journey.
Líneas de reverse ETL
Con Census/Hightouch enviamos segmentos a Meta CA, Google CM, Klaviyo, HubSpot, Braze; con schedule + monitoring.
Schema registry y PII governance
Registros de schema versionados, PII tagging, política de retención + masking, alarmas de schema drift.
Audit log + reporte de compliance
Configuración RBAC, data access log, reporte de compliance mensual automático (KVKK/RGPD + política publicitaria).
Runbook + formación de 3 semanas
Runbook operacional, rotación on-call, SLA por escrito + 3 semanas de formación hands-on para tu equipo.
— ALCANCE
Qué hacemos y qué no — límites claros
La arquitectura first-party es trabajo de ingeniería; definir el alcance con precisión evita sorpresas y facturas inesperadas.
Lo que hacemos
- Signal audit + evaluación de la salud del consent
- Diseño de event taxonomy + data contracts
- Implementación del contenedor sGTM + CI/CD + monitoring
- Integraciones CAPI con Meta/Google/TikTok/Pinterest
- Configuración de Consent Mode v2 + TCF 2.2 + CMP
- Warehouse BigQuery/Snowflake + pipeline de streaming
- Modelos dbt + semantic layer + tests
- Identity resolution (determinística + probabilística)
- Líneas de reverse ETL (Census/Hightouch)
- Schema registry + PII governance + audit log
- Coordinación del legal/compliance review
- Runbook + 3 semanas de formación hands-on
Lo que no hacemos
- Asesoría jurídica (coordinamos con abogado partner + policy review)
- Venta de licencias de CDP (recomendación vendor-agnóstica, sin comisiones)
- Mantenimiento del stack SaaS fragmentado (recomendamos consolidación)
- Raw analytics con tarifas de agencia (sprints de ingeniería en lugar de paquetes)
- Garantías de recuperación total de señal ‘pre-pixel’ (damos rangos realistas)
- Licencia de warehouse / factura cloud (queda en la cuenta del cliente)
- Gestión de cuentas publicitarias (alcance separado con equipos PPC/Growth)
- Deployments SaaS plug-and-play (cada cliente lleva arquitectura custom)
HOW WE WORK
Implementación inicial de 8 semanas → 6 meses de operación — qué se hace y cuándo, por escrito
01
Semana 1-2: audit + discovery
Audit de GTM/GA4/CMP/pixel actual, consent health check, entrevistas con stakeholders, documento de requisitos arquitectónicos.
02
Semana 3-4: design + data contracts
Event taxonomy, estrategia de identity, schema de warehouse, política de consent, data contracts — aprobación de legal + IT + marketing.
03
Semana 5-6: deploy sGTM + CAPI
Contenedor Cloud Run/Fargate en producción; integración CAPI con Meta/Google/TikTok; arranque del shadow mode.
04
Semana 7-8: warehouse + dbt
Pipeline de streaming a BigQuery/Snowflake, dbt staging + intermediate + marts, primera versión del semantic layer.
05
Semana 9-10: validate + cutover
Test de event parity, checklist de QA, cutover blue/green; plan de decommission de la arquitectura antigua.
06
Semana 11-12: govern + handoff
Schema registry, PII tagging, audit log, RBAC; arranca la formación hands-on a tu equipo y se entrega el runbook.
07
Mes 4-5: activación + optimización
Líneas de reverse ETL, primeras activaciones de segmentos, preparación de datos para MMM/atribución, cost optimization.
08
Mes 6+: steady state + audit
Reporte de compliance mensual, comité de gobierno de datos trimestral, monitoreo de schema drift, SLA + rotación on-call.
— SET DE HERRAMIENTAS
Las herramientas que usamos — vendor-agnósticas pero con criterio
Elegimos la adecuada para cada cliente; protegemos nuestra independencia no aceptando comisiones.
SERVER-SIDE TRACKING
Google Tag Manager ServerStape.ioGoogle Cloud RunAWS FargateMeta Conversion APIGoogle Ads Enhanced ConversionsTikTok Events APIPinterest CAPI
CMP & CONSENT
OneTrustCookiebotDidomiUsercentricsGoogle Consent Mode v2IAB TCF 2.2
WAREHOUSE & CDP
BigQuerySnowflakeRedshiftdbt Core/CloudSegmentRudderStackmParticleAmplitude
REVERSE ETL & ACTIVATION
CensusHightouchPolytomicFivetranAirbyteStitchMeta Custom Audience APIGoogle Customer Match API
QUESTIONS
Frequently asked
Tres beneficios concretos: (1) Recuperas un 30-50 % de señal al sortear ad-blockers + ITP, (2) Propiedad del dato — la redacción de PII ocurre en el servidor, (3) Mejora la velocidad de carga de página — se reduce la carga de scripts client-side. Además, rompes el vendor lock-in; toda la lógica de tags vive en tu cloud.
— GLOSARIO
Terminología de ingeniería de datos first-party
12 términos clave que dan un lenguaje común a tu equipo y a los stakeholders.
- sGTM
- Server-side Google Tag Manager — un proxy que recibe el payload del GTM del browser, lo limpia y enriquece, y lo reparte a múltiples destinos (GA4, Meta CAPI, TikTok, etc.). Alarga la vida de las cookies, resiste ad-blockers y es la espina dorsal de las conversion API server-side.
- CAPI
- API de eventos server-to-server de Meta que corre en paralelo al Pixel. Recupera el 20-40 % del signal de conversión perdido en el browser por ITP y ad-blockers; para deduplicar, cada evento debe llevar event_id y mismo timestamp. Base de cualquier stack moderno de paid social.
- Consent Mode v2
- Mecanismo de señales de consent de Google compatible con TCF 2.2; estados ad_user_data + ad_personalization.
- TCF 2.2
- Versión del IAB Europe Transparency & Consent Framework obligatoria desde 2024. Estandariza la señal de consent entre publisher, vendor y usuario; los CMP (OneTrust, Cookiebot, Didomi) entregan el cumplimiento obligatorio junto con Google Consent Mode v2.
- Identity resolution
- Conexión de la actividad de un usuario en distintos dispositivos y canales a una sola identidad; determinística + probabilística.
- CDP
- Customer Data Platform; sistema que unifica perfiles de usuario y los abre a canales de activación (Segment, mParticle, warehouse-native).
- Reverse ETL
- Transferencia de datos desde el warehouse hacia herramientas operacionales (Meta, Google, Klaviyo); Census y Hightouch son vendors típicos.
- Customer Match
- Uso de una lista first-party hasheada (email, teléfono, dirección postal) como audiencia de targeting/exclusion en Google Search, YouTube y Display. Base para seeds de lookalike y win-back; suele ser útil a partir de una match rate del 30 %+.
- Data warehouse
- Repositorio cloud donde viven los eventos crudos y modelados (BigQuery, Snowflake, Redshift, Databricks).
- Event schema
- Definición escrita y versionada de nombres, propiedades, tipos y propietarios de los eventos; se guarda en el schema registry.
- PII
- Personally Identifiable Information; datos que identifican a una persona (email, teléfono, IP, device ID). Se gestionan con tagging + retención.
- Data governance
- Conjunto de disciplinas de calidad, acceso, gobierno y compliance del dato; RBAC + audit log + data contracts como estándar.
- GA4 Measurement Protocol
- Protocolo server-to-server que envía eventos directamente a GA4 vía HTTP. Genera signal de conversión desde entornos sin pixel web (CRM, IoT, app server); autentica con api_secret + measurement_id y se configura respetando Consent Mode.
- Enhanced Conversions
- Capa de medición en Google Ads que liga una conversión a un usuario mediante first-party data hasheada (email, teléfono). Recupera 3-15 % de atribución perdida por ITP y degradación de cookies; viene en versión web y lead-form.
- Offline Conversions
- Proceso para devolver a la plataforma de ads las conversiones que ocurren en CRM (lead-to-sale, cierre por llamada, visita en tienda) mediante el click ID (gclid/wbraid/fbclid). La forma más fiable de alimentar tROAS con revenue real.
- First-party Data
- Datos que la marca recopila directamente desde sus propias properties (web, app, CRM, contact center, email, membership) con consentimiento del usuario. El combustible más defendible del performance tras la caída de las third-party cookies; se hashea y activa en plataformas.
- Data Clean Room
- Entorno de cómputo seguro donde dos partes (p. ej. marca + plataforma media) pueden hacer match y agregación sin exponer su PII en bruto. Google Ads Data Hub, Amazon AMC, Snowflake/Databricks clean rooms — para análisis de overlap, atribución y construcción de audiencias.
- Identity Graph
- Grafo relacional que enlaza a una misma persona a través de sus dispositivos, email, teléfono, identificador de pago e IDs hasheados. Base para atribución cross-device, modelos de retención y calidad del seed LAL — el corazón del CDP.
- First-party Cookies
- Cookies que el propio dominio del sitio establece y que sólo se envían en sus requests. Tras el bloqueo de las third-party, ITP ha acortado también esta categoría — el cookie set server-side + política de rotación 1y+ es ya esencial.
- Server-side Events
- Eventos de conversión enviados a la plataforma de ads vía API desde tu propio server (sGTM, backend propio) en lugar de desde el navegador. Inmunes a ad-blockers y límites de navegador; usan specs como CAPI (Meta), GA4 MP, TikTok Events API.
- Hashed PII
- Identificador personal (email, teléfono, nombre) congelado vía función criptográfica unidireccional (normalmente SHA-256). Obligatorio para matching, custom audience upload y Enhanced Conversions en plataformas de ads — requisito de privacidad y compliance.
- Privacy Sandbox
- Conjunto de APIs de Google en Chrome diseñadas para permitir medición publicitaria, retargeting y detección de fraude sin third-party cookies: Topics, Protected Audience (FLEDGE), Attribution Reporting. La cara Google del futuro sin cookies.
- CORS (Cross-Origin Resource Sharing)
- Mecanismo de seguridad del navegador que exige al servidor aprobar explícitamente los fetch/XHR cross-origin. Se controla con cabeceras Access-Control-Allow-*; la mala configuración es el bug de integración más frecuente en APIs SaaS.
- CSP (Content Security Policy)
- Cabecera HTTP que declara desde qué orígenes una página puede cargar scripts, estilos, imágenes e iframes. Defensa browser-side más fuerte contra XSS; nonce + strict-dynamic es la best practice moderna, con report-uri/report-to para monitorizar.
- TLS / SSL
- Protocolo que cifra todo el tráfico entre cliente y servidor y autentica al servidor vía certificado. Capa que está debajo de HTTPS; TLS 1.3 es el estándar moderno, Let's Encrypt da certificados gratis, la cabecera HSTS es obligatoria.
- Zero-Trust
- Modelo de seguridad que no confía en ninguna ubicación de red y re-autentica + re-autoriza cada request basándose en usuario + dispositivo + contexto. Alternativa moderna a la VPN; se construye sobre BeyondCorp, Cloudflare Access, Tailscale.
- AWS IAM (Identity and Access Management)
- Capa de auth en AWS que responde "quién puede hacer qué a qué servicio". Jerarquía User/Group/Role/Policy; principio least-privilege; SCP (Service Control Policy) para guardrails de toda la organización; base de seguridad de cualquier workload AWS.
- OWASP Top 10
- Lista actualizada anualmente por OWASP con los diez riesgos de seguridad más críticos en aplicaciones web. La edición 2021 está encabezada por Broken Access Control, Cryptographic Failures, Injection e Insecure Design. Estándar de la industria en self-assessment de seguridad.
- SQL Injection
- Vulnerabilidad clásica donde el atacante inyecta fragmentos SQL en inputs para manipular consultas de base de datos. Provoca bypass de login, dump total de la BBDD, ataques tipo DROP TABLE. Solución: queries parametrizadas / prepared statements u ORM.
- XSS (Cross-Site Scripting)
- El atacante inyecta JavaScript malicioso en una página web para que corra en el navegador de la víctima. Tres variantes: Reflected, Stored y DOM-based — facilitan robo de cookies y secuestro de sesión. Mitigación: escape de salida, headers CSP, cookies HttpOnly + SameSite.
- CSRF (Cross-Site Request Forgery)
- Ataque que abusa de la sesión autenticada de la víctima para realizar acciones no deseadas. El atacante, desde otro sitio, hace que el navegador envíe un formulario al banco de la víctima. Mitigación: tokens anti-CSRF, cookies SameSite=Lax/Strict, double-submit cookie.
- Clickjacking
- El atacante superpone el sitio objetivo como iframe transparente sobre su propia página y engaña al usuario para que pulse botones invisibles — likes, transferencias o permisos sin querer. Mitigación: X-Frame-Options: DENY o cabecera CSP frame-ancestors.
- MITM (Man-in-the-Middle)
- Ataque que intercepta o modifica la comunicación entre dos partes. Vectores típicos: Wi-Fi abierto, certificados falsos, ARP spoofing. Se mitiga con HTTPS, HSTS preload, certificate pinning y DNS over HTTPS (DoH).
- Certificate Pinning
- La app móvil/desktop sólo acepta una clave pública concreta de certificado de servidor (o de CA). Aunque el atacante instale una CA falsa en el dispositivo, la app no la acepta. Una de las mejores defensas contra MITM, pero la rotación de claves se complica.
- MFA / 2FA (Multi-Factor Authentication)
- Método de auth que exige un segundo factor además de la contraseña. Factores: algo que sabes (contraseña), tienes (teléfono, hardware key), eres (biometría). SMS es débil; TOTP (Authenticator), push notifications y FIDO2/WebAuthn son la elección moderna.
- SSO (Single Sign-On)
- Un único inicio de sesión que da acceso a múltiples apps conectadas. SAML 2.0 (enterprise) y OIDC (web/mobile moderno) son los protocolos principales; Okta, Azure AD y Google Workspace son IdPs típicos. Mejora UX y da a IT gestión centralizada del ciclo de vida del usuario.
- SAML 2.0
- Estándar legacy basado en XML para SSO empresarial (2005). Transporta authentication assertions desde un IdP (Okta, ADFS) al Service Provider vía browser POST o redirect binding. Sigue siendo estándar en SaaS modernas, pero los nuevos proyectos prefieren OIDC.
- OIDC (OpenID Connect)
- Capa de identidad sobre OAuth 2.0. Añade un ID token (JWT) sobre el access token; tecnología detrás de "Sign in with Google/Apple/Microsoft". Basado en JSON, amigable con mobile/SPA y más moderno que SAML.
- JWT (JSON Web Token)
- Token de identidad/autorización portable y firmado en formato Header.Payload.Signature. Habilita sesiones stateless, transmisión de identidad entre microservicios y el formato ID token de OIDC. Buenas prácticas: access corto + refresh largo; RS256/ES256 preferido a HS256.
- Security Headers
- Cabeceras de respuesta HTTP que envían reglas de seguridad al navegador: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Una configuración correcta reduce drásticamente XSS, MITM y sniffing.
- WAF (Web Application Firewall)
- Capa de seguridad que inspecciona tráfico de capa 7 y bloquea SQL injection, XSS, RCE y ataques de bots. Cloudflare WAF, AWS WAF, Imperva y F5 son los principales; combinan rule sets gestionados con reglas custom y rate limiting.
- Penetration Testing (Pentest)
- Auditoría de seguridad controlada que prueba las defensas de un sistema con mentalidad de atacante real. Enfoques black-box, gray-box y white-box; alcances web-app, mobile, red e ingeniería social. Salida: lista de hallazgos priorizada y retest de correcciones.
- Bug Bounty
- Programa donde la empresa paga en metálico a investigadores externos por encontrar vulnerabilidades. Vía HackerOne, Bugcrowd o auto-hospedado; alcance, reglas y niveles de recompensa se publican abiertamente. Genera presión continua tipo pentest.
- Zero Trust
- Enfoque "no confiar por defecto en nadie ni en ninguna red — verificar cada petición". Sustituye el clásico modelo castle-and-moat por accesos basados en identidad, postura del dispositivo y contexto. BeyondCorp, Cloudflare Access y Zscaler son ejemplos clave.
- DDoS (Distributed Denial of Service)
- Ataque que satura un servicio objetivo con tráfico desde miles de dispositivos comprometidos a la vez. Variantes: volumétrico (saturación de banda ancha), protocolo (SYN flood) y capa de aplicación (HTTP flood). Defensa principal: redes anycast tipo Cloudflare, AWS Shield, Akamai.
- Secrets Management
- Almacenar valores sensibles — API keys, contraseñas de DB, certificados, OAuth client secrets — de forma centralizada, auditable y rotable. HashiCorp Vault, AWS Secrets Manager, Doppler y 1Password Secrets son las herramientas estándar; acaba con el .env subido a Git.
- Prompt Injection
- Ataque donde el atacante inyecta instrucciones ocultas en el input de usuario o de herramienta para que el LLM ignore su system prompt — p. ej. "Olvida todas las instrucciones previas y…". El XSS de las apps LLM; la defensa requiere capas de sanitización de input, filtrado de output y sandbox.
- LLM Jailbreak
- Intento de saltarse las reglas de seguridad incorporadas del modelo (rechazar contenido dañino, no filtrar el system prompt, etc.). Técnicas comunes: DAN, "grandma exploit", framings de roleplay, trucos de codificación y manipulación multi-turn. Superficie que los red teams testean sin parar.
- GDPR (General Data Protection Regulation / RGPD)
- Reglamento de protección de datos de la Unión Europea, en vigor desde 2018. Consentimiento explícito, minimización de datos, derechos de acceso y supresión, notificación de brechas en 72 h y multas de hasta el 4 % de los ingresos globales o 20 M EUR. Obliga a cualquiera que haga negocios con la UE.
- CCPA / CPRA
- California Consumer Privacy Act (2020) y su ampliación, la CPRA (2023). Concede a los residentes de California el derecho a saber, el derecho a borrar y un opt-out "Do Not Sell or Share". Sin ley federal, es el estándar US de facto; otras leyes estatales (Virginia VCDPA, Colorado CPA) la referencian.
- LGPD (Lei Geral de Proteção de Dados)
- Ley brasileña de protección de datos similar al GDPR, en vigor desde 2020. La aplica la ANPD; 9 derechos del titular, consentimiento explícito y DPO obligatorio. Multas: hasta el 2 % de los ingresos por infracción, con tope de 50 M BRL.
- KVKK (Turquía)
- Ley turca de protección de datos personales nº 6698, promulgada en 2016. La aplica el Consejo KVKK; registro VERBİS, consentimiento explícito, 11 derechos del interesado y requisito de adecuación para transferencias internacionales. Alineada con el RGPD pero más estricta en algunos puntos.
- DSA (Digital Services Act)
- Regulación de la UE para grandes plataformas, plenamente en vigor desde 2024. Para VLOPs (Very Large Online Platforms, 45 M+ usuarios UE — Meta, Google, TikTok…): evaluación anual de riesgos, rastreo de contenido ilegal, transparencia algorítmica y prohibición de dark patterns. Multas hasta 6 % de los ingresos globales.
- DMA (Digital Markets Act)
- Norma de competencia de la UE dirigida a las plataformas "gatekeeper" (Apple, Google, Meta, Microsoft, Amazon, ByteDance, Booking) desde 2024. Obliga a app stores de terceros, elección de motor de navegador, interoperabilidad de mensajería y prohíbe el self-preferencing. Razón por la que iOS abrió el side-loading en la UE.
- ePrivacy Directive ("Cookie Law")
- Directiva UE de 2002 (revisada en 2009) — primera obligación de consentimiento explícito antes de usar cookies y trackers. Sigue vigente como complemento del RGPD; fuente legal de los cookie banners en sitios UE. Una sucesora ePrivacy Regulation continúa en negociación.
- FLEDGE / Protected Audience API
- API de Google Privacy Sandbox diseñada para mantener viva la remarketing tras la desaparición de las cookies de terceros. Los interest groups se almacenan en el navegador, la subasta se ejecuta también en el navegador y las IP/IDs no se filtran. Por defecto en Chrome 109+; pruebas IAB en curso.
- Topics API
- Sucesor de FLoC en el Privacy Sandbox de Google (2023). El navegador deriva 5 "topics" por semana del historial del usuario (p. ej. /Sports/Soccer); los anunciantes ven un subset aleatorio. Objetivo: matching de intereses sin cross-site tracking.
- CHIPS (Cookies Having Independent Partitioned State)
- Tecnología de Chrome que parte las cookies de terceros en particiones por sitio. La cookie de un widget embebido queda aislada por top-site, rompiendo el cross-site tracking mientras se preserva el estado intrasitio. Se implementa añadiendo el atributo Partitioned en Set-Cookie.
- SKAdNetwork (Apple)
- Framework iOS de Apple para atribución de anuncios sin IDFA. Ofrece un match determinístico entre la red que sirvió el anuncio y el anuncio que disparó la instalación; conversion value 0-63 y postbacks agregados a 24 h. Estándar del ecosistema mobile ad post-ATT.
- ATT (App Tracking Transparency)
- Feature de Apple lanzada en iOS 14.5 (2021) que impide a las apps acceder al IDFA sin mostrar el diálogo del sistema "Allow / Ask Not to Track". Cerca del 75 % de usuarios optó por no rastrear, lo que cambió de raíz la industria de mobile attribution y la empujó a SKAdNetwork.
- IDFA / GAID
- IDFA (Identifier for Advertisers, iOS) y GAID (Google Advertising ID, Android) — IDs publicitarios ligados al dispositivo y reseteables por el usuario. Antes de ATT, columna vertebral de la mobile attribution; hoy GAID sigue activo en Android, mientras IDFA pasó a opt-in.
- OpenRTB
- Protocolo abierto del IAB que estandariza la compra/venta programática de display y vídeo. Define las formas JSON de bid requests, bid responses y win notices entre SSPs y DSPs; v2.6 (2024) suma audio, CTV y identity solutions. Base técnica del header bidding y los PMP.
- Prebid.js
- La librería header-bidding open-source más usada. En la página del publisher dispara bid requests paralelos a 10+ SSPs antes de la llamada al ad server (GAM); gana la puja más alta. Subió el eCPM del publisher un 20-50 % y aportó transparencia al ecosistema programmatic — una revolución.
- Cookie Consent Banner
- El banner familiar de la web moderna que pregunta "¿Aceptas nuestras cookies?" al cargar el sitio. Exigido por la ePrivacy de la UE y el RGPD; "Reject All" debe ser igual de fácil y el consentimiento debe ser granular por categoría. CookieYes, OneTrust y Cookiebot son los principales CMP.
- CMP (Consent Management Platform)
- Plataforma que recoge, almacena y propaga el consentimiento del usuario por todo el sitio. Se integra con IAB TCF v2.2 y notifica a vendors de terceros mediante un consent string. OneTrust, TrustArc, CookieYes, Cookiebot e Iubenda son habituales; pieza obligatoria del stack privacy moderno.
- IAB TCF v2.2 (Transparency & Consent Framework)
- Estándar de IAB Europe para compartir consentimiento entre vendors adtech en el mercado UE. Un consent string binario codifica cuáles de los 12 propósitos y cuáles de los 1.000+ vendors aprobó el usuario; se transporta CMP→SSP→DSP. La v2.2 (2023) aclaró la granularidad de "purpose 1: device storage".
- DSAR (Data Subject Access Request)
- Según GDPR Art. 15 / KVKK / CCPA, derecho del individuo a obtener en 30 días una respuesta documentada a "¿qué datos tienes sobre mí y con quién los has compartido?". Portal DSAR, runbook y pipeline automatizado de extracción de datos son piezas inevitables del programa privacy moderno.
- Privacy by Design
- Los siete principios de Ann Cavoukian (1995, embebidos en el GDPR art. 25): sé proactivo, default privacy-friendly, diseña sistemas privacy-first, cifrado de extremo a extremo, protección en todo el lifecycle, visibilidad y respeto al usuario. Base ética de la arquitectura de seguridad moderna.
- Right to be Forgotten
- Artículo 17 del GDPR — derecho del individuo a pedir el borrado de sus datos personales. Sin base legal para conservarlos, la empresa debe borrar en 30 días — incluidos backups, logs y vendors de terceros. Ampliado a los resultados de búsqueda de Google por la sentencia del TJUE Costeja de 2014.
- SPF (Sender Policy Framework)
- Estándar antispoofing en DNS TXT que enumera las IPs autorizadas a enviar correo en nombre de un dominio. Ejemplo: v=spf1 include:_spf.mailgun.org -all. El MTA receptor compara la IP emisora con SPF; un fallo lleva a spam o rechazo.
- DKIM (DomainKeys Identified Mail)
- Estándar que demuestra la autenticidad del email mediante una firma criptográfica del dominio emisor. Se añade una cabecera DKIM-Signature; el receptor la verifica contra la clave pública publicada en DNS. La segunda pata del email auth moderno junto a SPF.
- DMARC (Domain-based Message Authentication, Reporting & Conformance)
- Estándar que combina SPF + DKIM y permite al dueño del dominio decidir qué hacer cuando falla la autenticación. Política p=none / quarantine / reject; rua=mailto:dmarc@… recoge reportes. Obligatorio para emisores masivos hacia Gmail/Yahoo desde 2024.
- BIMI (Brand Indicators for Message Identification)
- Estándar que muestra el logo del emisor junto al "from" en bandejas de Gmail/Yahoo cuando el dominio aplica DMARC. Requiere logo SVG Tiny y un VMC (Verified Mark Certificate); el soporte de mailbox crece desde 2023. Sube el open rate un 3-15 %.
- CAN-SPAM (ley de email de EE.UU.)
- Ley estadounidense de 2003 que fija reglas obligatorias para el email comercial: sin headers/subjects engañosos, link de opt-out claro, dirección postal física dentro del mensaje y procesar opt-outs en 10 días. Multas de hasta 51K $ por infracción. Modelo opt-out (no exige opt-in como el RGPD).
- CBDC (Central Bank Digital Currency)
- Token digital emitido por un banco central con estatus de moneda de curso legal. Sand Dollar de Bahamas, eNaira de Nigeria y e-CNY de China en vivo; el Euro Digital en piloto. Respuesta regulatoria a las stablecoins y pieza central de los proyectos de pago cross-border y sociedad sin efectivo.
- Sign-In with Ethereum (SIWE)
- Estándar (EIP-4361) para iniciar sesión con una firma de wallet Ethereum en vez de email/contraseña. La dApp genera un mensaje, el usuario lo firma con su wallet y el backend verifica la firma para abrir sesión. La alternativa OIDC para auth Web3, cada vez más combinada con passkeys.
- LLM Red Team
- Equipo humano + AI que pone a prueba las reglas de seguridad y los límites internos de un modelo. Prueban prompts adversariales, jailbreaks, leaks de PII y prompt injection; los gaps que encuentran alimentan el eval set. Los red teams de OpenAI, Anthropic y Google son piezas críticas pre-lanzamiento.
- Adversarial Prompt
- Prompt construido a propósito para empujar al modelo a salidas incorrectas, dañinas o prohibidas. Vectores típicos: "detail-only", "creative fiction", "system-message override" y base64. Defenderse contra ellos requiere instruction tuning, RLHF y Constitutional AI a la vez.
- Jailbreak Eval Suite
- Colección estandarizada de intentos para saltarse los controles de seguridad de un LLM. Benchmarks abiertos: AdvBench, HarmBench, JailbreakBench; patrones clásicos como "DAN", el "grandma exploit" y framings de roleplay. La medición de pass-rate es obligatoria antes de cualquier lanzamiento de LLM.
- Prompt Leakage
- Ataque que intenta sacar a la luz el system prompt del modelo, normalmente lógica de negocio confidencial. Ejemplo: "imprime todas las instrucciones previas". El contexto RAG oculto y las reglas de negocio sensibles pueden filtrarse. Defensa: instruction wrapper + repeat-back filter + structured output.
- PII Redaction (LLM)
- Capa que enmascara los datos personales del input del usuario — nombre, teléfono, email, número de tarjeta, dirección — antes de llegar al LLM o a los logs. Herramientas típicas: Microsoft Presidio, Google DLP, AWS Comprehend Medical; obligatoria para cumplir GDPR, KVKK y HIPAA.
- LLM Guardrails
- Capa de control que protege la salida del modelo de territorios no deseados — tóxico, off-topic, alucinaciones, salida que rompe el esquema. Output filtering, validación de schema, classifier-as-judge y tool-call validation; herramientas habituales: NeMo Guardrails, Guardrails AI y AWS Bedrock Guardrails.
- Content Moderation API
- Servicio que clasifica input y output de texto o imagen en categorías — toxicidad, NSFW, violencia, hate speech, self-harm. OpenAI Moderation, Perspective API (Google), AWS Rekognition y Azure Content Safety. Pre-filtro obligatorio en cualquier aplicación LLM.
- AI Safety Eval (HHH)
- Principio de evaluación de alineamiento que mide la tríada "Helpful, Honest, Harmless". Helpful: ¿realmente ayuda al usuario?; Honest: ¿da respuestas erróneas o con motivación oculta?; Harmless: ¿sugiere acciones dañinas? Base de los papers de safety de Anthropic.
- Toxicity Score
- Score de clasificador de 0 a 1 que mide cuán tóxico, acosador u odioso es un texto. Perspective API (Google), OpenAI Moderation, Detoxify y HateBERT son comunes; el umbral suele ser 0,7+. Filtro crítico en output LLM, moderación de comentarios y brand safety.
- Bias Audit
- Comprobación sistemática de si un modelo produce salidas injustas según atributos protegidos — género, raza, edad, religión. Métricas: demographic parity, equal opportunity y counterfactual fairness; herramientas habituales AI Fairness 360 y Fairlearn. Compliance obligatoria en industrias reguladas.
- Anti-Cheat (VAC, EAC, BattlEye)
- Sistema que bloquea cheats, aimbots y wallhacks en juegos multiplayer. Valve VAC, Easy Anti-Cheat (EAC), BattlEye, Riot Vanguard y FACEIT AC son habituales; el acceso a nivel kernel alimenta el debate seguridad/privacidad. La prevención no tiene techo, pero una mala implementación destroza la UX.
- SOC (Security Operations Center)
- Equipo 24/7 e infraestructura que monitoriza y responde a eventos de seguridad. Estructurado en Tier 1 (alert triage), Tier 2 (investigación profunda) y Tier 3 (threat hunter, forensics); herramientas comunes: SIEM, EDR y SOAR. Las empresas modernas tienen un SOC interno de 100+ personas o lo externalizan a un MSSP.
- SIEM (Security Information & Event Management)
- Plataforma que ingesta logs y eventos de seguridad centralizadamente y dispara alertas con reglas de correlación. Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM y Sumo Logic lideran; responde "quién hizo qué" y "qué anomalía" — el corazón del SOC moderno.
- EDR (Endpoint Detection & Response)
- Plataforma de detección y respuesta en tiempo real frente a malware, ransomware y lateral movement en portátiles, servidores y endpoints móviles. CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black y Sophos Intercept X lideran. El sucesor del antivirus clásico.
- XDR (Extended Detection & Response)
- El sucesor del EDR que además unifica señales de red, email, cloud e identity. Convierte alertas siloed más allá del endpoint en una única vista correlacionada; Palo Alto Cortex XDR, Microsoft Defender XDR, Trellix y SentinelOne Singularity lideran. Baja los tickets por analyst SOC entre 5-10×.
- SOAR (Security Orchestration, Automation & Response)
- Plataforma de orquestación que ejecuta playbooks automáticos tras alertas SIEM — "bloquea esta IP", "aísla este endpoint", "resetea la contraseña" y más respuestas de 100+ pasos. Splunk SOAR, Palo Alto XSOAR, Tines y Torq lideran; reduce la carga del Tier 1 del SOC un 60 %+.
- Threat Intelligence
- Disciplina que aporta conocimiento sobre actores de amenaza activos, sus tácticas e IoCs (indicadores de compromiso — IPs, hashes, dominios). Recorded Future, Mandiant, CrowdStrike Intel, OTX y MISP entregan feeds que se inyectan en el SIEM; responde a "¿nos afecta esta filtración?".
- CVE (Common Vulnerabilities & Exposures)
- Catálogo público de IDs de vulnerabilidades de seguridad mantenido por MITRE — por ejemplo CVE-2024-12345. Cada entrada vincula parche del vendor, detalles del exploit y versiones afectadas, y recibe un score CVSS. La unidad atómica de un programa de vulnerability management.
- CVSS (Common Vulnerability Scoring System)
- Sistema estándar gestionado por FIRST.org que puntúa la gravedad de una vulnerabilidad de 0,0 a 10,0. Capas: Base Score (exploitability + impacto), Temporal y Environmental; 9,0+ Critical, 7,0-8,9 High, 4,0-6,9 Medium. Base para priorizar parches.
- NIST CSF (Cybersecurity Framework)
- Framework publicado por NIST en 2014 que organiza un programa de ciberseguridad en cinco funciones: Identify, Protect, Detect, Respond y Recover. La v2.0 (2024) añadió Govern. Es la referencia más utilizada en federal estadounidense y enterprise global.
- ISO 27001
- Estándar internacional para un Information Security Management System (ISMS). Risk assessment + 93 controles (Anexo A) + ciclo de mejora continua; auditoría externa cada 3 años + surveillance anual. Imprescindible en ventas B2B SaaS y prueba de alineación con GDPR y KVKK.
- SOC 2
- Informe de auditoría diseñado por AICPA para empresas SaaS. Trust Services Criteria: Security (obligatoria), Availability, Processing Integrity, Confidentiality y Privacy. Type 1 (point-in-time), Type 2 (6-12 meses de evidencia operacional). La llave para vender enterprise en EE.UU.
- CIS Controls
- Conjunto de los 18 controles de ciberseguridad más críticos publicado por el Center for Internet Security (antes SANS Top 20). Tiers IG1 (small), IG2 (mid) e IG3 (large) cubren acciones prácticas como asset inventory, MFA y phishing awareness. El mapa operativo del NIST CSF.
- MITRE ATT&CK Framework
- Knowledge base abierta de MITRE que cataloga TTPs reales de atacantes — Tactics, Techniques and Procedures. 14 tácticas Initial Access → Execution → Persistence → … → Impact, con 600+ técnicas. Referencia para escenarios red team, escritura de reglas de detección y alineación de threat intel.
- Zero-Day Exploit
- Vulnerabilidad de software que el vendor aún no conoce — 0 días desde el parche — y el exploit que la aprovecha. Vale millones en mercados bug-bounty y dark web; arma preferida de grupos APT, actores estatales y spyware tipo Pegasus. Defensa: defense in depth, EDR y virtual patching.
- Supply Chain Attack
- Ataque a un objetivo a través del software, componentes o vendors que utiliza, no directo. Ejemplos: SolarWinds Orion (2020), Kaseya (2021), MOVEit Transfer (2023) y 3CX (2023). Un solo vendor comprometido puede afectar a más de 18.000 clientes; SBOM, artefactos firmados y el framework SLSA son la defensa estándar.
- Ransomware
- Malware que cifra los archivos de la víctima y exige rescate por la clave de descifrado. La "double extortion" moderna además amenaza con publicarlos en la dark web. LockBit, BlackCat (ALPHV), Conti y Ryuk son tristemente célebres; en 2024 el rescate medio es de 2 M $ y el downtime medio de 21 días.
- Phishing / Spear Phishing / Whaling
- Ataques que roban credenciales o datos con email, SMS o web falsos. Phishing: masivo y genérico; Spear Phishing: dirigido a una persona o empresa concreta; Whaling: apunta a CEO, CFO y ejecutivos senior. El phishing generado con IA subió un 1500 % en 2024; defensa: DMARC, email security gateway y awareness training.
- Credential Stuffing
- Ataque que toma pares usuario/contraseña filtrados en otra brecha y los prueba automáticamente en otros sitios para hacerse con la cuenta. Bot-driven, millones de requests por segundo; HaveIBeenPwned rastrea 13.000 M+ registros filtrados. Defensa: rate limiting, CAPTCHA, MFA y contraseñas únicas con password manager.
- Brute Force Attack
- Probar combinaciones de contraseñas de forma sistemática. Dos variantes: online (contra un login vivo) y offline (contra un dump de hashes). Herramientas: GPUs + diccionario + motores rule-based (Hashcat, John the Ripper); en 2024 una GPU top hace 600.000 M de hashes por segundo. Defensa: passphrase larga + bcrypt/scrypt/argon2.
- UEBA (User & Entity Behavior Analytics)
- Capa de security analytics que con ML aprende patrones de comportamiento de usuarios y dispositivos y marca anomalías — anomalías de tiempo/lugar de login, accesos atípicos a ficheros, patrones de lateral movement. Crítica para detectar insider threat y compromised account. Líderes: Splunk UBA, Exabeam, Microsoft Sentinel UEBA.
- CASB (Cloud Access Security Broker)
- Capa de cloud security que monitoriza y aplica políticas sobre las apps SaaS que usan los empleados. Cubre descubrimiento de shadow IT, DLP, protección frente a amenazas y compliance. Líderes: Microsoft Defender for Cloud Apps, Netskope, McAfee MVISION y Zscaler CASB. La DMZ de seguridad de la era SaaS-first.
- DLP (Data Loss Prevention)
- Sistema que previene la exfiltración no autorizada de datos sensibles — PII, números de tarjeta, secretos comerciales. Inspección profunda de contenido + enforcement de políticas en endpoint, red, email y cloud. Líderes: Symantec DLP, Forcepoint, Microsoft Purview y Netskope. Corazón del cumplimiento GDPR, KVKK y HIPAA.
- IAM (Identity & Access Management)
- Plataforma que responde a "¿quién puede acceder a qué sistema y con qué permisos?". Aporta una única fuente de identidad (Okta, Azure AD/Entra, Auth0, Ping Identity), SSO, MFA, automation joiner-mover-leaver y RBAC/ABAC. El centro de cualquier arquitectura zero-trust moderna.
- Privileged Access Management (PAM)
- Plataforma que gestiona y audita cuentas privilegiadas — admin, root, break-glass. Acceso just-in-time, password vault, session recording y workflows de aprobación. CyberArk, BeyondTrust, Delinea y HashiCorp Boundary lideran; control primario frente a insider threat y privilege escalation.
- KYC (Know Your Customer)
- Requisito regulatorio financiero para verificar la identidad del cliente. Pasos: documentos (DNI, pasaporte), liveness check (selfie, vídeo), dirección (factura) y origen de fondos. Obligatorio en bancos, exchanges crypto y fintechs; el incumplimiento implica multas millonarias y retirada de licencia.
- AML (Anti-Money Laundering)
- Controles regulatorios y operativos para prevenir el blanqueo de capitales. Incluye monitoreo de transacciones, Suspicious Activity Reports (SARs), screening de sanciones (OFAC, UE, ONU) y chequeo PEP (Politically Exposed Person). Función de compliance de bancos y fintechs; FinCEN y FATF marcan el estándar global.
- PCI DSS Level 1
- El estándar de seguridad de tarjeta más estricto, para empresas con más de 6 M de transacciones al año. Incluye auditoría anual on-site por un QSA (Qualified Security Assessor), scans trimestrales de vulnerabilidades, pentests y revisiones de segmentación. Stripe, Adyen y Shopify Payments están certificados Level 1.
- Embedded Finance
- Incorporar servicios financieros — pagos, crédito, seguros, cuentas bancarias — directamente dentro de productos no financieros. Ejemplos: cuentas de driver de Uber, Shopify Capital, Tesla Insurance y Apple Card. Construido sobre proveedores Banking-as-a-Service (Stripe Treasury, Unit, Synapse); se proyecta un mercado de más de 7 B $ en 2030.
- Apple Pay / Google Pay (Wallet)
- Cartera digital donde los datos de tarjeta se tokenizan y almacenan en el móvil o wearable, y se usan para pagos NFC u online. La tasa de fraude cae 50 %+ en transacciones card-not-present; backend Visa Token Service y Mastercard MDES. El NFC iOS abrió a wallets de terceros en 2024 con la DMA UE.
- Direct Debit (SEPA DD / BACS)
- Pull pre-autorizado desde la cuenta bancaria del cliente para pagos recurrentes — alquiler, facturas, suscripciones. SEPA Direct Debit en Europa, BACS Direct Debit en UK y ACH Debit en EE.UU. Estándar pull-payment para subscription business y utilities; reglas sobre pre-notification, mandate ID y derecho de chargeback.
- Wire Transfer
- Transferencia interbancaria de alto valor en tiempo real — domestic vía Fedwire en EE.UU., internacional vía SWIFT. Settlement el mismo día, fees $25-50, irreversible. El rail estándar para B2B de alto valor y compra de inmuebles; más rápido y más caro que el ACH.
- Cross-Border Payment
- Pago internacional que cruza monedas y redes bancarias. El SWIFT correspondent banking clásico tarda 2-5 días con fees del 2-5 %; alternativas modernas: Wise, Revolut, Stripe Cross-Border y stablecoins blockchain como USDC. Los pagos B2B cross-border globales superaron los 150 B $ en 2024.
- Authorization vs Settlement
- Los dos pasos de una transacción de tarjeta. Authorization: bloquea el límite del titular en segundos; Settlement: convierte ese bloqueo en cargo real 1-3 días hábiles después. En e-commerce se autoriza al pedido y se captura/settle al envío; en restaurante se autoriza y se ajusta en el settlement para incluir la propina.
- Chargeback
- El banco del cliente revierte la transacción → reembolso más fee de chargeback de $15-50 para el merchant. Motivos típicos: "item no recibido", fraude o cobro duplicado. Secuencia moderna: pre-arbitration → arbitration. Visa Compelling Evidence 3.0 (2023) da mejores herramientas de evidencia al merchant.
- Friendly Fraud
- Cuando el cliente recibió y usó el producto pero abre un chargeback alegando "no lo reconozco". El 60-80 % de los chargebacks de e-commerce son friendly fraud. Defensa del merchant: capturas del pedido, tracking, match de IP y confirmación de entrega con firma.
- Interchange Fee
- Comisión que paga el banco adquirente al banco emisor (el del titular). La fija el schedule de Visa/Mastercard — ~1,5-3 % en EE.UU. y 0,2-0,3 % en UE bajo el cap PSD2. El mayor trozo del total ~2,5 % de fee al merchant y la línea de ingresos más rentable para las fintechs.
- Acquirer Bank vs Issuer Bank
- Los dos extremos de la transacción de tarjeta. Issuer Bank: el banco que entrega la tarjeta al cliente (límite, billing); Acquirer Bank: el banco integrado al payment processor del merchant (merchant funding, settlement). Stripe y Adyen suelen trabajar con el acquirer; el partner back-end del merchant.
- eKYC / Digital KYC
- El sucesor 100 % digital del KYC. Verificación con IA de selfie + documento de ID vía Onfido, Jumio, Veriff o Persona; onboarding en 30 segundos a 2 minutos con revisión manual de fallback. Detección con IA de manipulación de documento y liveness anti-spoofing son esenciales. La ventaja en conversion de las fintechs modernas.
- Card Brand (Visa / Mastercard / Amex)
- Los dueños de las redes de tarjeta. Visa y Mastercard son open-loop (cualquier banco puede ser issuer o acquirer); Amex y Discover son closed-loop (ellos mismos son el banco). Cuota de volumen global: Visa ~38 %, Mastercard ~28 %, Amex ~22 %; en Turquía Troy es la red local. El interchange + network fee del brand fija el coste del merchant.
- Card-Present vs Card-Not-Present
- CP: el cliente está físicamente en la tienda con la tarjeta — chip + PIN, NFC, swipe. CNP: e-commerce, teléfono o mail-order. El fraude CNP es 8-10× el CP; 3DS2, tokenización y fraud scoring son obligatorios. La diferencia básica del perfil de riesgo entre el retail físico y el online.
- Open Banking / PISP / AISP
- Dos roles de terceros creados por la PSD2. AISP (Account Information Service Provider): agregación de cuentas y financial planning — Mint, Tink. PISP (Payment Initiation Service Provider): iniciación de pagos directamente desde la cuenta bancaria — Trustly, GoCardless Instant. Rival directo de las redes de tarjeta.
- HIPAA
- Ley estadounidense de 1996 que gobierna la privacidad de datos sanitarios. La PHI (Protected Health Information) es la combinación de identidad del paciente y estado de salud; el cifrado en storage y tránsito, logs de acceso y un audit trail de 6 años son obligatorios. Multas de 50K a 1,5 M $ por infracción; el cumplimiento HIPAA es innegociable para cualquier SaaS que venda a salud.
- RegTech (Regulatory Technology)
- Un segmento tech que automatiza los procesos de compliance y regulación. Cubre AML/KYC (ComplyAdvantage, Chainalysis), reporting regulatorio (NICE Actimize, FIS Protegent), automatización fiscal (Avalara, TaxJar) y reporting GDPR/CSRD. La inversión en RegTech superó los 15.000 M $ en 2024; la categoría de proveedor que más rápido crece para bancos, seguros y fintechs.
- InsurTech
- El segmento tech que digitaliza el seguro. Lemonade (P&C, claims con IA), Root (auto con telematics), Hippo (seguro smart home), Coalition (cyber insurance) y Wefox lideran a nivel global; en Turquía, Quick Sigorta y BoMonti. La contraparte data-driven y customer-experience-first del seguro legacy.
01
CAPIConsent Mode v2
02
sGTMCustomer Match
03
TCF 2.2PII
04
Consent Mode v2
05
CDPCustomer Match
06
Reverse ETLData warehouse
07
CDPData warehouse
08
CAPIPII
09
Event schemaData governance
10
Data governance
11
Data governanceConsent Mode v2
12
PIIEvent schema
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
— ÁRBOL DE DECISIÓN
¿Una operación de datos first-party es lo tuyo?
Responde Sí/No a 4 preguntas; obtendrás una recomendación clara.
01 / 04
¿Tu presupuesto publicitario mensual supera los 30k USD?
Umbral a partir del cual la recuperación de señal empieza a ser económicamente significativa.
— LET'S BEGIN
¿Cuánto confías en tus pixels?
Con un signal audit de 2 horas sacamos a la luz conversiones perdidas, problemas de consent y oportunidades de warehouse.