¿Qué es 3D Secure y la autenticación reforzada de cliente?

¿Qué es 3D Secure?

3D Secure (3DS) es un protocolo de autenticación diseñado para añadir una capa adicional de seguridad a los pagos con tarjeta en línea. Cuando un cliente realiza una compra en un sitio web, 3D Secure puede pedirle que verifique su identidad -- normalmente mediante su aplicación bancaria, un código de un solo uso enviado por SMS o una autenticación biométrica -- antes de aprobar el pago.

La "3D" hace referencia a los tres dominios involucrados en el proceso de autenticación: el dominio del comercio, el dominio de la red de tarjetas (como Visa o Mastercard) y el dominio del banco emisor. Estas tres partes trabajan en conjunto para verificar que la persona que realiza el pago sea el titular legítimo de la tarjeta.

La evolución de 3DS1 a 3DS2

3D Secure 1 (3DS1)

La versión original de 3D Secure -- comercializada como "Verified by Visa" y "Mastercard SecureCode" -- se lanzó a comienzos de los años 2000. Exigía que los clientes configuraran una contraseña estática con el emisor de su tarjeta y la introdujeran al pagar en línea. Este enfoque tenía problemas bien documentados:

• Los clientes olvidaban su contraseña con frecuencia, lo que provocaba transacciones abandonadas
• La redirección a una página de autenticación separada parecía sospechosa y generaba confusión
• No funcionaba bien en dispositivos móviles
• Las tasas de conversión caían mucho para los comercios que lo implementaban

3D Secure 2 (3DS2)

3DS2, lanzado en 2019, fue un rediseño completo. En lugar de depender de contraseñas estáticas, utiliza autenticación basada en riesgo. El sistema analiza más de 100 puntos de datos -- incluidos el tipo de dispositivo, la ubicación, el historial de transacciones y los patrones de gasto -- para evaluar si una operación tiene probabilidades de ser legítima.

Las transacciones de bajo riesgo se aprueban sin interacción del cliente (lo que se conoce como "flujo sin fricción"). Las transacciones de mayor riesgo activan un "flujo de desafío" en el que se le pide al cliente que se autentique -- normalmente a través de su aplicación bancaria o un código de un solo uso. Este enfoque equilibra la seguridad con una experiencia fluida.

¿Qué es la autenticación reforzada de cliente (SCA)?

La autenticación reforzada de cliente es un requisito regulatorio introducido por la Directiva de Servicios de Pago 2 (PSD2) en Europa y el Reino Unido. Exige que los pagos electrónicos se autentiquen utilizando al menos dos de los siguientes tres factores:

• Algo que sabes Una contraseña, PIN o pregunta de seguridad
• Algo que tienes Un teléfono móvil, token de hardware o tarjeta inteligente
• Algo que eres Una huella dactilar, escaneo facial u otro dato biométrico

3D Secure 2 es el mecanismo principal de la industria de pagos para cumplir con SCA en los pagos con tarjeta en línea. Cuando una transacción requiere SCA, el protocolo 3DS2 se encarga del desafío de autenticación.

Exenciones de SCA

No todas las transacciones requieren SCA. La normativa incluye varias exenciones:

• Transacciones de bajo importe Pagos inferiores a 30 GBP (aunque los emisores pueden seguir aplicando SCA tras una serie de pagos de bajo importe)
• Beneficiarios de confianza Los clientes pueden añadir a una lista blanca los comercios en los que confían, evitando la SCA en futuros pagos
• Pagos recurrentes Tras el primer pago autenticado, los cargos recurrentes posteriores por el mismo importe pueden estar exentos
• Análisis de riesgo de la transacción Los proveedores de pagos con tasas de fraude bajas pueden solicitar exenciones para transacciones que su motor de riesgo considere de bajo riesgo
• Pagos corporativos Pagos realizados con tarjetas corporativas a través de procesos de pago dedicados

Solicitar exenciones puede mejorar las tasas de conversión, pero si una transacción exenta resulta ser fraudulenta, la responsabilidad recae sobre quien solicitó la exención.

3D Secure, SCA y los pagos telefónicos

Aquí es donde las cosas se ponen interesantes para los negocios que aceptan pagos por teléfono. Los pagos telefónicos están explícitamente exentos de los requisitos de SCA. La FCA y la Autoridad Bancaria Europea clasifican los pedidos por teléfono como transacciones MOTO (pedidos por correo o por teléfono), y MOTO está excluido del mandato de SCA.

Esto significa que, cuando un cliente paga por teléfono, el comercio no necesita activar la autenticación 3D Secure. El pago se procesa como una transacción estándar sin presencia física de la tarjeta, con verificación de CVV pero sin el paso adicional de SCA.

Esta exención existe porque los pagos telefónicos ya implican una forma de interacción entre el comercio y el cliente -- la conversación telefónica en vivo aporta un contexto que no existe en una transacción puramente en línea. Sin embargo, la exención MOTO no reduce la necesidad de cumplir con PCI DSS. Aunque los requisitos de autenticación son más sencillos, la obligación de proteger los datos de la tarjeta sigue plenamente vigente.

Transferencia de responsabilidad

Uno de los principales incentivos para que los comercios implementen 3D Secure es la transferencia de responsabilidad. Cuando una transacción se autentica con éxito mediante 3DS, la responsabilidad por contracargos fraudulentos pasa del comercio al banco emisor. Si un cliente afirma que no autorizó una transacción autenticada, el emisor asume el costo en lugar del comercio.

Para las transacciones MOTO -- que no pueden usar 3D Secure -- esta transferencia de responsabilidad no aplica. El comercio mantiene la responsabilidad por los contracargos fraudulentos, lo que hace que otras medidas de prevención de fraude (como las verificaciones AVS, la comprobación del CVV y la capacitación de agentes) sean aún más importantes.

Adopción e impacto

Desde que 3DS2 y SCA se volvieron obligatorios en el Reino Unido en 2022, la industria de pagos ha observado mejoras medibles. Las tasas de fraude en pagos con tarjeta en línea han disminuido, mientras que el temido impacto negativo en las tasas de conversión ha sido menor de lo esperado -- en gran parte porque el flujo sin fricción hace que la mayoría de los clientes legítimos nunca vean un desafío. Los comercios que han optimizado su implementación de 3DS2 reportan que bastante más del 90% de las transacciones se aprueban sin interacción del cliente, lo que vuelve las mejoras de seguridad prácticamente invisibles para el comprador.