¿Qué es 3D Secure 2?

¿Qué es 3D Secure 2?

3D Secure 2, comúnmente escrito como 3DS2, es la versión actual del protocolo de autenticación que se utiliza para verificar la identidad del titular de una tarjeta durante los pagos con tarjeta en línea. Cuando compras algo en internet y tu banco te pide que confirmes la compra a través de su aplicación, o que ingreses un código de un solo uso enviado a tu teléfono, eso es 3DS2 en acción.

La "3D" se refiere a los tres dominios -- el dominio del comercio, el dominio del emisor de la tarjeta y el dominio de interoperabilidad (la red de tarjetas que se ubica en medio). El protocolo establece un canal seguro entre estas tres partes para intercambiar datos de autenticación, permitiéndole al emisor verificar que la persona que realiza el pago es realmente el titular de la tarjeta.

3DS2 reemplazó al 3D Secure original (a veces llamado 3DS1), introducido a comienzos de los años 2000 bajo marcas como Verified by Visa y Mastercard SecureCode. La versión original era funcional, pero ampliamente criticada por ser torpe, lenta y una fuente importante de abandono de carrito. 3DS2 se diseñó desde cero para solucionar estos problemas.

¿Qué fallaba en 3DS1?

Para entender por qué existe 3DS2, ayuda comprender por qué la primera versión era tan problemática. Normalmente, 3DS1 redirigía al cliente a una página web aparte controlada por su banco, donde tenía que introducir una contraseña que había configurado previamente. Esto presentaba varios problemas importantes:

• Muchos clientes olvidaban sus contraseñas de 3DS1 porque las usaban muy poco, lo que provocaba transacciones fallidas y frustración
• La redirección a una página separada resultaba abrupta y hacía que el proceso de pago se sintiera menos confiable -- a veces los clientes pensaban que era un intento de phishing
• La página de autenticación del banco solía verse completamente distinta del sitio del comercio, reforzando la sensación de que algo no encajaba
• El protocolo no fue diseñado para dispositivos móviles, y la experiencia en teléfonos era especialmente mala
• No había forma de evaluar el riesgo de manera silenciosa -- toda transacción requería el mismo paso de autenticación engorroso, sin importar lo claramente legítima que fuera

El resultado fueron altas tasas de abandono. Algunos comercios vieron caer la finalización del pago entre un veinte y un treinta por ciento al activar 3DS1, lo que llevó a muchos a desactivarlo del todo y aceptar el mayor riesgo de fraude.

Cómo funciona 3DS2

3DS2 adopta un enfoque fundamentalmente distinto. En lugar de interrumpir cada transacción con un pedido de contraseña, utiliza un modelo de autenticación basado en riesgo que analiza un conjunto rico de datos para decidir si el titular necesita verificar su identidad activamente o si la transacción puede aprobarse de forma silenciosa.

El flujo sin fricción

Cuando un cliente realiza un pago, 3DS2 envía más de 100 puntos de datos al emisor de la tarjeta -- incluidos el dispositivo utilizado, el historial de transacciones del cliente, la hora del día, la tasa de fraude del comercio y mucho más. El sistema del emisor analiza estos datos y, si determina que el riesgo es bajo, aprueba la transacción sin pedirle al cliente que haga nada adicional. Es posible que el cliente ni siquiera se entere de que hubo una autenticación. A esto se le llama "flujo sin fricción" y es la innovación clave de 3DS2.

El flujo de desafío

Si el emisor determina que se necesita una verificación adicional -- porque la transacción es de alto valor, el dispositivo no se reconoce o el comportamiento es inusual -- activa un "desafío". En 3DS2, este desafío se gestiona normalmente a través de la aplicación bancaria del cliente (una notificación push pidiéndole que apruebe el pago) o mediante un código de un solo uso enviado por SMS. A diferencia de 3DS1, la autenticación ocurre dentro de la experiencia de pago del comercio (mediante un iframe incrustado o un SDK basado en aplicación), por lo que el cliente no es redirigido a otro sitio web.

Por qué 3DS2 importa para las empresas

3DS2 aborda la tensión fundamental entre seguridad y experiencia de usuario que afectaba a su predecesor. Los beneficios para los negocios son significativos:

• Menos abandono de carrito -- el flujo sin fricción significa que muchos clientes completan la autenticación sin interrupciones, manteniendo altas las tasas de conversión
• Menor responsabilidad por fraude -- cuando una transacción se autentica con 3DS2, la responsabilidad por contracargos fraudulentos pasa del comercio al emisor. Esto significa que, si una transacción autenticada con 3DS2 resulta fraudulenta, el comercio no asume la pérdida financiera
• Cumplimiento de PSD2 -- 3DS2 es el mecanismo principal para cumplir con los requisitos de autenticación reforzada de cliente (SCA) introducidos por la PSD2 para pagos en línea. Usar 3DS2 garantiza que tu negocio cumpla con esta normativa
• Mejor experiencia móvil -- 3DS2 se diseñó pensando en el comercio móvil, con soporte para autenticación en la app y una experiencia fluida en teléfonos y tabletas
• Intercambio de datos más rico -- el protocolo comparte mucha más información entre comercios y emisores, lo que mejora la detección de fraude y reduce los rechazos falsos

3DS2 y los pagos telefónicos

Aquí es donde la cosa se pone interesante para los negocios que aceptan pagos por teléfono. 3DS2 está diseñado para transacciones electrónicas iniciadas por el cliente -- principalmente pagos en línea y en aplicaciones. Los pagos telefónicos se clasifican como transacciones MOTO (pedidos por correo o por teléfono), y las transacciones MOTO están exentas de los requisitos de autenticación reforzada de cliente de la PSD2.

Esto significa que, cuando un cliente llama a tu empresa y proporciona los datos de su tarjeta por teléfono, no necesitas implementar la autenticación 3DS2 para esa transacción. La exención MOTO reconoce que es poco práctico realizar autenticación de dos factores durante una llamada de voz de la misma forma que se hace en un pago en línea.

Sin embargo, esta exención tiene implicaciones importantes. Como las transacciones MOTO no se autentican con 3DS2, no aplica la transferencia de responsabilidad -- el comercio asume la responsabilidad por cualquier transacción MOTO fraudulenta. Esto vuelve especialmente importante que los negocios que aceptan pagos telefónicos cuenten con otras medidas de prevención de fraude, como verificaciones AVS, comprobación del CVV, monitoreo de velocidad y puntaje de riesgo.

También significa que el canal de pago telefónico puede resultar atractivo para los estafadores precisamente porque carece de la capa de autenticación que 3DS2 ofrece para los pagos en línea. Si tu canal en línea está bien protegido por 3DS2, los delincuentes pueden intentar realizar pedidos fraudulentos por teléfono. Las empresas deben tener en cuenta este desplazamiento de canal y asegurarse de que la seguridad de sus pagos telefónicos sea sólida.

Consideraciones prácticas

Si tu negocio acepta pagos en línea, 3DS2 no es opcional -- es obligatorio para cumplir con SCA bajo la PSD2 (con algunas exenciones para transacciones de bajo valor y bajo riesgo). Tu pasarela de pagos o proveedor de servicios de pago debería encargarse de la integración técnica, pero hay algunas cosas que conviene entender:

• Trabaja con tu proveedor de pagos para asegurarte de que 3DS2 esté correctamente implementado y de estar aprovechando el flujo sin fricción cuando sea posible
• Monitorea tus tasas de autenticación -- haz seguimiento de qué porcentaje de transacciones pasa por el flujo sin fricción frente al flujo de desafío, y de cuál es tu tasa de éxito en la autenticación. Tasas altas de desafío pueden indicar que los datos que envías a los emisores son insuficientes
• Envía la mayor cantidad de datos posible -- cuanta más información envíes durante el proceso 3DS2, más probable será que el emisor apruebe la transacción mediante el flujo sin fricción. Los campos de datos faltantes reducen la confianza del emisor y aumentan la probabilidad de desafío
• Prueba en móvil -- asegúrate de que la experiencia 3DS2 funcione bien en dispositivos móviles, ya que una proporción creciente de compras en línea se realiza desde teléfonos
• No descuides la seguridad de los pagos telefónicos -- si 3DS2 protege eficazmente tu canal en línea, asegúrate de que tu canal telefónico tenga una protección equivalente mediante otras medidas