Los protocolos de seguridad 3D Secure: protección de las compras online

Los protocolos de seguridad 3D Secure (3DS) para la protección de las compras online son un sistema de autenticación de pagos online desarrollado por las principales redes de pago internacionales, como Visa y Mastercard¹, con el fin de fortalecer el nivel de seguridad de las transacciones online realizadas con tarjetas de crédito y débito.

Estos protocolos se aplican mediante la activación de Verified by Visa y Mastercard Identity Check (reciente evolución de Mastercard Securecode, 2020) en las tarjetas de pago, proceso que minimiza el riesgo del uso fraudulento de la tarjeta por parte de terceros al pedir una autentificación 3D Secure del comprador para el completamiento del pago online.

Evolución y objetivos de los sistemas de autenticación 3D Secure

El desarrollo de los protocolos 3D Secure se remonta a principios de los años 2000¹: gracias a su introducción, el ecosistema Ecommerce ha sido testigo de un aumento del nivel de seguridad de los pagos online que, como consecuencia directa, ha fomentado la confianza de los consumidores hacia un mundo que todavía era prerrogativa de unos pocos pioneros.

Con los servicios de seguridad se ha introducido también el concepto de autenticación. Para completar un pago 3D Secure ya no bastaba con introducir los datos de la tarjeta – es decir, nombre y apellidos, PAN, fecha de caducidad y CVV – sino que se volvía necesario teclear una contraseña que el comprador había elegido durante la fase de activación del servicio o un código temporal tanto recibido por SMS como generado por un dispositivo proporcionado por el banco.

A lo largo de los años, la evolución de los primeros protocolos 3D Secure ha sido mínima y ha atañido principalmente el proceso de autenticación, que con el aumento constante del uso de los teléfonos móviles ha ido recurriendo al SMS como método preferencial. Esta tendencia cambió en 2018, cuando la normativa europea PSD2 sobre los pagos introdujo la Autenticación Reforzada de Clientes (SCA), la que requiso modificaciones importantes en la estructura de los sistemas de autenticación 3D Secure con el objetivo de hacer que los pagos online fuesen aún más seguros.

Las nuevas disposiciones establecen que el nombre de usuario y la contraseña ya no son suficientes para que el pago alcance un alto nivel de seguridad, por lo que se requiere autenticarse involucrando al menos dos de los siguientes factores:

Un elemento conocido solo por el consumidor (FACTOR DE CONOCIMIENTO)

• PIN
• Contraseña
• Preguntas de seguridad

Un objeto propiedad del consumidor (FACTOR DE POSESIÓN)

• Tarjeta
• Teléfono
• Token
• Dispositivo portátil

Un elemento que caracteriza al consumidor (FACTOR DE INHERENCIA)

• Huella dactilar
• Reconocimiento facial
• Reconocimiento de voz o escaneo del iris

Entre los cambios, destaca sobre todo la adopción de la biometría como método de identificación del comprador, una tecnología ya utilizada ampliamente en la mayoría de los smartphones y que ha mejorado la seguridad tanto del acceso al dispositivo como la de muchas acciones disponibles – entre otras, las compras en las tiendas de aplicaciones.

Al solicitar un elemento conocido únicamente por el titular de la tarjeta, la autenticación 3D Secure reduce de forma drástica el riesgo de uso fraudulento de las tarjetas por parte de terceros, y la obligación de introducir estos protocolos – impuesta por la UE – ha contribuido a hacer evidente su eficacia frente a los intentos de estafas.

Pagos 3D Secure en 2021

Según la empresa de análisis de mercado Juniper Research, a nivel global el fenómeno del fraude en los pagos online generará un total de pérdidas de más de 206.000 millones de dólares en el periodo 2021 – 2025². Esta perspectiva, combinada con la progresiva entrada en vigor de la normativa PSD2, perite suponer que los actores del mundo Ecommerce recurrirán cada vez más a las nuevas medidas de seguridad introducidas para frenar la plaga de las estafas online. Hablando de España, 2021 ha sido un año de novedades significativas en cuanto a la normativa en la seguridad online, ya que a partir del 1 de enero se ha introducido la aplicación obligatoria de la SCA – autenticación reforzada de clientes. Un informe de Ravelin señala que el 90% de los pagos por comercio electrónico sigue enviándose a protocolos de seguridad 3DS 1.0, mientras que solo el 10% se ha remitido la nueva versión 2.1; enfocándonos en el análisis de la tasa de aprobación en la autenticación según los tipos de protocolos, destaca un 100% de transacciones exitosas a través de la versión 3DS 1.0 y un 30% a través de la 2.1. En cuanto a los pagos sin fricciones, en España el porcentaje actual alcanza el 3%³. Dándose por supuesto el mandato de la SCA, se nota un cambio positivo entre las prácticas de los comerciantes ibéricos: el 33% afirma remitir a los protocolos 3DS más de la mitad del tráfico de transacciones gestionadas en su ecommerce, un aumento de 20pp con respeto al 13% de 2020⁴.

Además, Peter Caiazzi, director general de TAS Group, una empresa internacional de tecnología financiera, declaró que la última versión 2.0 de la autenticación 3D Secure tuvo un impacto positivo en la fricción experimentada por los clientes. Los tiempos de pago se redujeron en un 85% y el abandono del carrito de compra en un 70%. No hay duda que los sistemas de autenticación de pagos 3DS están cambiando el panorama Ecommerce y la prevención del fraude en todo el mundo, sino sobre todo lo están haciendo a una velocidad increíble.

Activación de los sistemas 3D Secure para el comerciante

Pero ¿cómo puedo saber si mi tarjeta es 3D Secure? Muy simple: la activación de los servicios 3D Secure de las redes de tarjetas de crédito y débito es responsabilidad de los emisores, que habilitan las tarjetas de los adquirentes para esta funcionalidad. En cambio, el contacto de referencia del comerciante es el adquirente, que, antes de la llegada de la PSD2, podía conceder al comerciante la desactivación de los protocolos, ya que en algunos casos pueden afectar la tasa de conversión.

De hecho, la primera versión de estas medidas de seguridad daba al comerciante la posibilidad de pedir al adquirente que anulase el protocolo, aceptando los pagos de sus clientes aun sin insertar el código de autenticación 3D Secure. Por un lado, esta práctica repercutía negativamente en la seguridad del pago, pero ofrecía una mayor probabilidad de que ello tuviese éxito, considerando que, sin insertar el código de autenticación, el cliente tenía un paso menos que completar. Los protocolos 3D Secure 2.0, en cambio, trasladan al emisor (que ha emitido la tarjeta de pago) la decisión de aplicar o no la autenticación de dos o más factores en cada transacción, por lo que el adquirente y el comerciante se convierten en sujetos “pasivos” en la aplicación del 3D Secure.

De todas formas, los beneficios de los protocolos 3D Secure 2.0 son innegables. Al exigir que se ingresen más datos relacionados con la transacción y el adquirente en las solicitudes de pago, el emisor puede realizar un análisis más preciso del riesgo de fraude, lo que se traduce en una menor probabilidad de que se solicite la autenticación reforzada de los pagos 3D Secure. Aunque existan excepciones y exenciones a la aplicación de la SCA, la gestión de los protocolos 3DS2 se convierte en algo esencial para el comerciante que al no cumplir con la normativa ve rechazadas las solicitudes de pago.

Cómo gestionar los nuevos protocolos de seguridad

La segunda versión de los sistemas de autenticación 3D Secure posibilita el comerciante añadir algunos campos adicionales, cuya recopilación es opcional, en la solicitud de pago. Esta práctica tiene el objetivo de proporcionar un conjunto de datos enriquecido al emisor, reduciendo la probabilidad de que se aplique la SCA a las transacciones 3D Secure. Sin embargo, este proceso puede requerir una revisión del recorrido del cliente, ya que, al añadir campos para la recogida de datos, la complejidad de la integración puede aumentar.

A pesar de que haya pasado más de un año de la puesta en vigor de los protocolos 3D Secure 2.0, la complejidad de los cambios sigue causando confusión entre los comerciantes. Con el fin de aportar claridad sobre la PSD2 y los protocolos, Axerve te facilita una infografía que analiza en detalle las novedades introducidas por la normativa y el funcionamiento de la Autenticación Reforzada de Clientes; además, contiene una tabla en la que se comparan los antiguos y los nuevos procesos 3D Secure para la protección de las compras online, con el fin de ofrecer una visión general de los cambios sustanciales.

Para una óptima gestión de las reglas de autenticación 3D Secure en la pasarela de pago Axerve Ecommerce Solutions, hemos puesto a tu disposición una sección de la documentación dedicada a la gestión de los protocolos 3DS2 para realizar un análisis detallado de los pasos que necesitas hacer para adecuar tu tienda online a la normativa vigente.