Glosario

3-D Secure (3DS)

¿Qué es 3D Secure?

3D Secure es un protocolo de capa de seguridad para las compras en línea con tarjeta de crédito y débito. Su nombre se debe a que a través de él interactúan tres dominios, cada uno de los cuales se mantiene «seguro»: 

  1. el dominio del comerciante/adquirente
  2. el dominio del emisor
  3. el dominio de la interoperabilidad

Las grandes empresas emisoras de tarjetas ofrecen el mismo servicio 3D Secure con diferentes nombres: Visa utiliza Verified by Visa/Visa Secure, Mastercard utiliza SecureCode y American Express utiliza SafeKey.

Su objetivo general es asegurarse de que el usuario que realiza la compra y el titular de la tarjeta son los mismos, lo que ayuda a evitar casos de fraude de carding, de pruebas de tarjetas, de contracargos, etc. Esto se consigue mediante el uso de una contraseña que solo se comparte entre el titular de la cuenta y el emisor de su tarjeta (a través de un servidor de control de acceso), mientras que el comerciante solo recibe información sobre si la comprobación ha tenido éxito o no. 

En 2016, los emisores de tarjetas actualizaron el protocolo para que fuera menos intrusivo y comprendiera mejor los datos contextuales: Ahora, a los clientes de confianza no se les pedirá que pasen la comprobación, que solo se activa para las transacciones de alto riesgo. 

Normalmente, esta comprobación se presenta al cliente como un iframe o una ventana emergente, donde el usuario tiene que introducir un código para completar la compra. En teoría, mientras que los números de las tarjetas son fáciles de adquirir para los delincuentes, este código no lo es y, por lo tanto, la responsabilidad en caso de contracargo pasa del comerciante al emisor de la tarjeta, excepto si el comerciante ya tiene un alto nivel de fraude y está siendo monitoreado.

¿Cómo funciona 3D Secure?

  1. El comprador introduce los datos de su tarjeta (número, nombre del titular, CVV).
  2. Se activa una ventana emergente o un marco en línea que solicita una contraseña única.
  3. El comprador introduce su contraseña, confirmando que es el titular legítimo de la tarjeta.
  4. El procesador de pagos realiza el pago.

La contraseña se establece al emitir la tarjeta o, con mayor frecuencia, se hace enviando contraseñas de un solo uso (OTP) por SMS para confirmar la intención del titular de la tarjeta. En el proceso intervienen tres actores (o dominios):

  • Dominio del adquirente: El comerciante que acepta el pago.
  • Dominio del emisor: La empresa que ha emitido la tarjeta que se utiliza.
  • Dominio de interoperabilidad: La infraestructura que procesa el pago y soporta 3D Secure.

En conjunto, estos tres forman los tres dominios de 3D Secure.

El protocolo se basa en mensajes XML enviados a través de SSL con autenticación del cliente. Una ventana emergente o un iframe en línea del emisor se presentará al cliente, requiriendo una contraseña vinculada al titular de la tarjeta. Es raro que la fuente de esto sea el propio emisor de la tarjeta; lo más frecuente es que lo gestione el servidor de control de acceso, un tercero subcontratado que gestiona 3D Secure. 

¿Por qué es importante el sistema 3D Secure?

Aunque tiene un costo para el comerciante, este sistema reduce significativamente las posibilidades de transacciones no autorizadas y de contracargos. El 3DS se implanta por defecto en algunos mercados de alto riesgo o en determinados sistemas de tarjetas. 

Sin embargo, desde el punto de vista del usuario, es una fricción añadida al proceso de compra, especialmente cuando se ve en la primera ocasión, y como tal, debe desplegarse con moderación.

3D Secure fue una respuesta a nivel de protocolo al creciente problema del fraude con tarjetas de crédito. En contra de la creencia común, una transacción en línea solo necesita un número de tarjeta válido y activo y una fecha de caducidad para pasar. Incluso los códigos CVV no son obligatorios. 

Al ser cada vez más fácil para los delincuentes adquirirlos mediante copia, suplantación de identidad o a través de terminales pirateados, se introdujo otro paso de seguridad: un secreto compartido entre el emisor y el titular de la tarjeta que no se revela al comerciante. 

La razón es que la infraestructura del comercio electrónico se considera un eslabón débil en caso de filtración de datos, a diferencia del emisor o el cliente.

Aunque las primeras iteraciones de 3D Secure fueron criticadas por ser engorrosas (de hecho, durante un tiempo se abusó de todo el sistema de ventanas emergentes/iframe con intentos de suplantación de identidad), en general se acepta que es lo suficientemente seguro para esa contrapartida. 

Las posibilidades de que un atacante intercepte el código 3D Secure del titular de la tarjeta mientras realiza una transacción son escasas, ya que requieren que la víctima esté muy comprometida, lo que convierte al 3DS en una forma eficaz de reducir las transacciones no autorizadas.

¿Cómo funciona 3D Secure con la detección de fraude?

En general, los comerciantes aplican 3D Secure a las transacciones de alto riesgo y disfrutan de la protección adicional que ofrece. Además, el desplazamiento de la responsabilidad que ofrece 3D Secure significa que si la transacción se impugna posteriormente, las tasas de contracargo no se aplican al comerciante.

Sin embargo, como tiene un costo, tanto en términos de procesamiento como de fricción con el usuario, hay que tener cuidado con la forma en que se implementan estos controles de seguridad en el flujo de pagos. 

Cabe señalar que en el Espacio Económico Europeo (EEE), los requisitos de la normativa PSD2 establecen que se debe cumplir con la autenticación reforzada de clientes (SCA) en las compras, que es efectivamente lo mismo que el 3DS2. El 3DS1 dejará de utilizarse a partir de octubre de 2022, y las exenciones de los clientes pueden gestionarse por tu parte a través de tus herramientas de riesgo para establecer la confianza.

¿Cuál es la diferencia entre la 3DS2 y la 3DS1?

El 3DS1 original fue lanzado en 2001 por Visa, con mejoras introducidas en 2016, en forma de 3DS2. 

En comparación con 3D Secure 1, 3D Secure 2:

  • implica una fricción considerablemente menor para el usuario
  • solo se activa para las transacciones de alto riesgo
  • comprende mejor los datos contextuales
  • puede enviar más datos al banco que 3DS1
  • reconoce los descensos suaves
  • admite exenciones
  • estadísticamente hace que las transacciones tengan menos probabilidades de ser abandonadas

Con el nuevo sistema 3DS2, el proceso de pago es mucho más fluido, y un usuario de confianza se desplazará directamente a una página de confirmación o será recibido con un método de confirmación familiar, como la comprobación de la huella digital o la introducción de una OTP, ya sea en la aplicación o en el navegador. 

¿Por qué se producen fallos en la autenticación 3D Secure?

No todos los fallos de 3D Secure son resultado de un fraude.

Hay que tener en cuenta que, cuando se activan, hacen que el usuario vaya a una página diferente, normalmente controlada por su banco emisor. A grandes rasgos, hay tres razones para un fallo «legítimo», que deben tenerse en cuenta antes de aplicar los bloqueos automáticos a otros intentos de transacción:

  1. El usuario ha tenido un problema al recibir su contraseña de un solo uso o ha extraviado su PIN seguro. Esto es sorprendentemente común, sobre todo para los que compran por primera vez en internet, por muy raro que sea.
  2. El banco emisor del cliente no es compatible con 3D Secure. Esto puede ocurrir si se fuerza la comprobación en cada transacción en un país determinado, aunque algunos bancos todavía no lo han implementado por diversas razones.
  3. Hay algún tipo de problema técnico, como que el servicio de control de acceso no funcione o algo similar. Esto también hará que el control falle.

Si, como comerciante, tienes motivos para pensar que la transacción podría ser legítima a pesar de que la comprobación haya fallado, se aconseja contactar a tu cliente para pedirle que se ponga en contacto con su banco o que lo intente de nuevo, explicándole el problema.