ES
Aprovecha las oportunidades de la PSD2
Agregación de cuentas - AISP
Accede a datos transaccionales y crea servicios de valor añadido
Pagos Open Banking - PISP
Acepta pagos A2A con la licencia Fabrick
Cobertura de bancos
Descubre todos los bancos con los que estamos conectados
Gestiona pagos de extremo a extremo
Fabrick Payment Orchestra
Impulsa tu sistema de gestión de pagos y los flujos de información
Fabrick Payment Gateway
Acepta pagos en tu web y app
Fabrick Advice
Aprovecha las exenciones de la SCA y realiza análisis de riesgos en tiempo real
Fabrick Guaranteed payments
Proteje tus pagos con verificaciones de fraude post-autorización y garantía de devolución de cargos
Facilita servicios bancarios a las empresas
Lending Place
Ofrece un acceso rápido y fácil al crédito
Industrias
Servicios bancarios y financieros
Moda
Fintech
Ho.Re.Ca.
Seguros
Casos de éxito
Recursos
Blog
Libros blancos
Desarrolladores
Nuestras API
Fabrick Producers
TPP Portal
Iniciar sesión en Customer Portal Fabrick
Corporate
Ecosistema Fabrick
Nuestra historia
Nuestra misión
Equipo directivo
Plataforma Open Finance
Fabrick People
Nuestro equipo
Por qué Fabrick
Trabaja con nosotros
Media Hub
Comunicados de prensa
Reseña de prensa
Eventos
Media kit
RecursosBlogLos protocolos de seguridad 3D Secure para la protección de las compras online

Los protocolos de seguridad 3D Secure para la protección de las compras online

Fecha de publicación: 06 Diciembre 2023Tiempo de lectura: 5 minutos
image

Los protocolos de seguridad 3D Secure (3DS) son un sistema de autenticación dentro del proceso de pago online desarrollado por las principales redes de pago internacionales, como Visa y Mastercard¹, con el fin de fortalecer el nivel de seguridad de las transacciones online realizadas con tarjeta.

Los protocolos 3DS se aplican mediante la activación de Verified by Visa y Mastercard Identity Check (reciente evolución de Mastercard Securecode, 2020) en las tarjetas de pago, proceso que minimiza el riesgo del uso fraudulento de la tarjeta al pedir una autentificación reforzada del comprador para el completamiento del pago.

Evolución y objetivos de los sistemas de autenticación 3D Secure

El desarrollo de los protocolos 3D Secure se remonta a principios de los años 2000¹: gracias a su introducción, el ecosistema Ecommerce ha sido testigo de un aumento del nivel de seguridad de los pagos online que ha fomentado la confianza de los consumidores hacia un mundo conocido por unos pocos pioneros.

Los servicios de seguridad han añadido al proceso la fase de autenticación: para completar un pago ya no bastaba con introducir los datos de la tarjeta, sino que se requería también una contraseña definida por el comprador durante la fase de activación del servicio o un código temporal recibido por SMS o generado por un dispositivo proporcionado por el banco.

A lo largo de los años, los únicos cambios relevantes en los protocolos 3DS han atañido al proceso de autenticación, en que el SMS se ha vuelto el método preferencial debido al aumento del uso de los teléfonos móviles. Esta tendencia cambió en 2018 cuando la nueva Directiva de Servicios de Pago (PSD2) introdujo la Autenticación Reforzada de Clientes (SCA), la que requiso modificaciones importantes en la estructura de los sistemas de autenticación 3D Secure con el objetivo de aumentar la seguridad de los pagos online.

Características de los protocolos 3DS2

Los primeros protocolos 3DS tenían muchas limitaciones, incluso el hecho de que utilizaban una ventana emergente con URL diferente, lo que conllevaba el riesgo de ataques de phishing por parte de quienes quisieran cometer un fraude online simulando dicha página de autenticación. Además, almacenar una contraseña diferente para cada tarjeta complicaba la experiencia del usuario que poseía varias tarjetas de crédito o débito. A esto se sumaba el hecho de que no era obligatorio aplicar 3DS como medida de seguridad, lo que aumentaba los riesgos para el consumidor.

Esta situación ha cambiado con la llegada de los protocolos 3DS2, que obligan a aplicar la autenticación reforzada del cliente a partir del 31 de diciembre de 2020, fecha de vencimiento de la prórroga concedida por la Autoridad Bancaria Europea (EBA). La nueva versión del protocolo de seguridad, si se gestiona correctamente, garantiza una mayor tasa de aprobación y una reducción de los abandonos del carrito de la compra, lo que se traduce en una experiencia sin fricciones para el comprador. Su adopción incluso ofrece la ventaja de trasladar la responsabilidad de la transacción del comerciante al emisor (liability shift) para todas las transacciones tramitadas a través del protocolo, de modo que es la empresa que emite la tarjeta (emisor) la que responde de cualquier fraude.

En última instancia, 3DS2 asegura el cumplimiento de los estándares SCA, reduciendo el número de fraudes y mejorando la experiencia del consumidor en webs y apps.

Con los nuevos protocolos 3DS2, el nombre de usuario y la contraseña ya no son suficientes alcanzar un alto nivel de seguridad del pago, por lo que se requiere autenticarse involucrando al menos dos de los siguientes factores:

Un elemento conocido solo por el consumidor (FACTOR DE CONOCIMIENTO)

  • PIN
  • Contraseña
  • Preguntas de seguridad

Un objeto propiedad del consumidor (FACTOR DE POSESIÓN)

  • Tarjeta
  • Teléfono
  • Token
  • Dispositivo portátil

Un elemento que caracteriza al consumidor (FACTOR DE INHERENCIA)

  • Huella dactilar
  • Reconocimiento facial
  • Reconocimiento de voz o escaneo del iris

Un elemento llamativo es la adopción de la biometría como método de identificación, una tecnología ya utilizada ampliamente en la mayoría de los smartphones y que ha mejorado la seguridad tanto del acceso al dispositivo como la de muchas acciones disponibles, como las compras en los app stores.

Al solicitar un elemento conocido únicamente por el titular de la tarjeta, la autenticación 3D Secure reduce de forma drástica el riesgo de uso fraudulento de las tarjetas por parte de terceros, y la obligación de introducir estos protocolos – impuesta por la UE – ha contribuido a hacer evidente su eficacia frente a los intentos de estafas.

Activación de los sistemas 3D Secure para el comerciante

La activación de los servicios 3D Secure de las redes de tarjetas es responsabilidad de los emisores, que habilitan las tarjetas de los adquirentes para esta funcionalidad. En cambio, el contacto de referencia del comerciante es la entidad adquirente, que, antes de la llegada de la PSD2, podía conceder al comerciante la desactivación de los protocolos, ya que en algunos casos afectan las tasas de conversión.

De hecho, el comerciante siempre ha tenido la opción de solicitar a la entidad adquirente que desactivara los protocolos, aceptando los pagos de sus clientes aun sin introducción del código de autenticación. Esto repercutía negativamente en la seguridad del pago, pero ofrecía una mayor probabilidad de que tuviese éxito, considerando que el cliente tenía un paso menos que dar. Los protocolos 3DS2, en cambio, han trasladado al emisor la decisión de aplicar o no la autenticación de dos o más factores para cada transacción, por lo que la entidad adquirente y el comerciante se convierten en sujetos “pasivos” en la aplicación del 3D Secure.

De todas formas, los protocolos 3DS2 aportan beneficios evidentes. Al exigir la introducción de datos adicionales en las solicitudes de pago, el emisor puede realizar un análisis más preciso del riesgo de fraude, reduciendo la probabilidad de que se solicite la autenticación de más factores.

Aunque existan excepciones y exenciones a la aplicación de la SCA, la gestión de los protocolos 3DS2 se convierte en algo esencial para el comerciante que vería rechazadas las solicitudes de pago al no cumplir con la normativa.

Cómo gestionar los nuevos protocolos de seguridad

Los protocolos 3DS2 brindan al comerciante la oportunidad de incluir campos opcionales en la solicutud de pago, para proporcionar un conjunto de datos adicional al emisor que contribuya a reducir la probabilidad de aplicación de la SCA a las transacciones. Esto puede suponer la revisión del recorrido del cliente en la web, la incorporación de campos útiles para la recopilación de datos y, por tanto, un aumento de la complejidad de la integración.

Un elemento clave para sacar el máximo partido de la PSD2 es conseguir que el mayor número posible de transacciones se beneficien de las excepciones y exenciones previstas, sin renunciar a altos niveles de seguridad. Guaranteed payments y Advice son dos de las soluciones de Fabrick que aprovechan precisamente estas oportunidades para garantizar un excelente servicio de prevención del fraude, reduciendo la fricción en la fase de pago y garantizando el reembolso de cualquier fraude no identificado.

Nuestros articulos

image

Pagos digitales y movilidad como servicio (Maas)

Los servicios de Mobility as a Service necesitan soluciones de pagos que permitan una gestión rápida y sin fricciones y una experiencia de usuario a la altura de las expectativas. La orquestación de pagos puede ser la clave para impulsar los negocios MaaS.
19 Marzo 2024
image

Cómo el Análisis de Riesgo de Transacciones (TRA) aumenta las conversiones y los pagos seguros

Las medidas de seguridad introducidas por la PSD2 ha supuesto unos desafíos para los comerciantes, pero ha abierto también nuevas oportunidades: aprovechar de las exenciones SCA con el Análisis de Riesgo de las Transacciones (TRA) permite proteger los pagos a la vez que se mejoran las tasas de autorización y las conversiones.
11 Marzo 2024
image

El futuro de los pagos en 2024: internacional y centrado en el consumidor

Aunque el sector de los pagos digitales evoluciona muy rápido, hay una tendencias que siguen siendo fundamentales: la internacionalización y el foco en la experiencia del cliente. La clave del éxito de 2024 para los comerciantes está en seguir estas tendencias y diseñar una estrategia que saque el máximo partido de las tecnologías disponibles.
07 Marzo 2024