¿Qué es Verified by Visa (VbV)?
Verified by Visa (VbV) fue la marca comercial de Visa para su programa de autenticación de titulares 3D Secure desde 2001 hasta su renombramiento como Visa Secure en 2019. Es el paso del checkout en el que introduce los datos de su tarjeta y su banco le pide confirmar el pago, normalmente mediante un aviso en la app bancaria o un código de un solo uso. Los flujos actuales de VbV se basan en 3D Secure 2, que autentica la mayoría de transacciones de bajo riesgo de forma silenciosa y solo desafía al titular cuando algo parece extraño.
Verified by Visa (VbV) es la marca de cara al consumidor que utilizó Visa entre 2001 y 2019 para su implementación del protocolo de autenticación 3D Secure en pagos con tarjeta en línea. Se ha renombrado como Visa Secure, pero muchos comercios, contratos y antiguas páginas de checkout todavía lo llaman VbV. El equivalente de Mastercard era SecureCode (ahora Identity Check); el de Amex es SafeKey. Detrás de la marca, la idea es la misma: cuando paga en línea, su banco tiene la oportunidad de confirmar que es realmente usted antes de aprobar la transacción.
Verified by Visa, comercializado ahora como Visa Secure, es la envoltura de Visa alrededor del protocolo 3D Secure. El protocolo enruta la solicitud de autenticación a través de tres dominios (la red de Visa, su banco y el proveedor de pagos del comercio) para que el banco decida si aprueba el pago en silencio o le pide verificarse. La mayoría de flujos que se ven en 2026 funcionan con 3D Secure 2 (3DS2), no con la versión original 1.0, que Visa retiró para nuevos comercios en octubre de 2022.
De dónde viene el nombre y por qué cambió
Visa lanzó VbV en 2001 para añadir un paso de autenticación a los pagos con tarjeta en línea, que estaban disparándose junto al comercio electrónico y acumulando fraude a niveles que las redes de tarjetas no podían ignorar. Al consumidor se le vendía sencillo: registre una contraseña con su banco, tecléela al pagar y estará protegido. Al comercio, todavía más sencillo: si implementa VbV y el cliente se autentica correctamente, la responsabilidad por contracargos de fraude pasa de usted al banco emisor.
La ejecución fue tosca. Los clientes olvidaban constantemente su contraseña VbV, la redirección a la página de autenticación del banco parecía un ataque de phishing y, en móvil, era directamente mala. Los comercios que lo activaban veían caer su tasa de conversión en dos cifras. A mediados de la década de 2010 el sector aceptó que VbV 1.0 era una mejora de seguridad que costaba más en ventas perdidas que lo que ahorraba en fraude.
3D Secure 2 arregló la mayoría de los problemas
El protocolo de sustitución, 3D Secure 2, es el que funciona hoy bajo la marca Visa Secure. En vez de exigir una contraseña a cada cliente, 3DS2 envía más de 100 puntos de datos al banco emisor (dispositivo, ubicación, historial, señales de comportamiento) y deja decidir al motor de riesgo del banco. Si los datos parecen normales, el banco aprueba el pago sin fricción y el cliente no ve ningún desafío. Si algo desentona, el banco eleva el desafío, normalmente en la app bancaria en lugar de en una página web separada. Los comercios bien ajustados pasan más del 90% de su volumen de 3DS2 por el flujo sin fricción.
Todavía verá las palabras "Verified by Visa" en muchos contratos antiguos y extractos de comercio. El protocolo subyacente es el moderno: la marca se actualiza más despacio.
El cambio de responsabilidad es la razón de que los comercios se molesten
El atractivo comercial de VbV/Visa Secure siempre ha sido el cambio de responsabilidad por contracargos. Cuando una transacción se autentica con éxito, el comercio queda protegido frente a las disputas de fraude "no fui yo" y la pérdida la asume el banco emisor. Para los comercios de tarjeta no presente, donde los contracargos son una línea de coste cotidiana, esa protección vale dinero real. La pega es que el cambio solo se aplica cuando la autenticación se completa realmente, así que los comercios deben vigilar las tasas de autenticación, no solo si 3DS está activado.
La SCA de la PSD2 lo hizo prácticamente obligatorio en Europa
Desde enero de 2021, las reglas de Autenticación Reforzada de Cliente de la segunda Directiva de Servicios de Pago exigen autenticación en dos factores para la mayoría de pagos con tarjeta en línea por encima de 30 GBP en el Reino Unido y el EEE. 3D Secure 2 es el mecanismo que utiliza la industria de tarjetas para entregarla, así que para cualquier comercio europeo que acepte pagos con tarjeta en línea por encima del umbral, usar Visa Secure (y Mastercard Identity Check y SafeKey) ya no es realmente opcional. Existen exenciones para transacciones de bajo valor, pagos recurrentes, beneficiarios de confianza y comercios con bajas tasas de fraude, pero el valor por defecto es autenticado.
Dónde no se aplica VbV: los pagos por teléfono
3D Secure está diseñado para checkouts en línea. Los pagos por teléfono son transacciones MOTO y están fuera del mandato de SCA: no hay forma práctica de autenticar al cliente con 3DS mientras está en una llamada de voz. Esa exclusión es útil para los comercios que aceptan pagos MOTO, pero tiene una desventaja: sin autenticación 3DS, no hay cambio de responsabilidad. Si un pago telefónico resulta ser fraudulento, paga el comercio. Por eso los controles antifraude para pagos telefónicos (AVS, comprobaciones de CVV, formación de agentes, reglas de velocidad) son tan importantes, y por eso los estafadores apuntan cada vez más al canal telefónico cuando los checkouts en línea están bien protegidos.
Paytia se ocupa de pagos por teléfono, que se encuentran en la exclusión MOTO de la SCA: Verified by Visa y 3D Secure no funcionan durante una llamada de voz. Por eso nuestro modelo de seguridad se centra en lo que sí podemos controlar: mantener los datos de tarjeta fuera de sus grabaciones, su CRM, las pantallas de los agentes y su red por completo. El enmascaramiento de DTMF hace que el cliente teclee su tarjeta en el teclado de su propio teléfono y los tonos se enmascaren antes de llegar a su centro de contacto, así que no hay nada sensible que filtrar.
Si prefiere conseguir el cambio de responsabilidad de 3DS, enviaremos al cliente un enlace de pago seguro a mitad de llamada para que pague desde su propio dispositivo con autenticación Visa Secure completa. Misma conversación, distintos raíles: usted elige el que mejor encaje con la transacción. En cualquiera de los dos casos, queda fuera del alcance de PCI DSS para esos datos de tarjeta.
Preguntas frecuentes
¿Sigue existiendo Verified by Visa en 2026?
El protocolo sí, pero el nombre se ha retirado. Visa renombró VbV como Visa Secure en 2019, y la tecnología subyacente pasó del antiguo 3D Secure 1.0 al 3D Secure 2. Todavía verá "Verified by Visa" en contratos antiguos y páginas de checkout, pero el protocolo activo es 3DS2.
¿Necesito Verified by Visa en mi checkout en línea?
Si acepta pagos con tarjeta en línea en el Reino Unido o el EEE, en la práctica sí. Las reglas de Autenticación Reforzada de Cliente de la PSD2 convierten 3D Secure 2 en el valor por defecto para la mayoría de transacciones superiores a 30 GBP, y Visa Secure es la forma en que las tarjetas Visa cumplen ese requisito. Su proveedor de servicios de pago se encarga de la integración.
¿Verified by Visa se aplica a los pagos por teléfono?
No. Los pagos por teléfono son transacciones MOTO y están exentos de la SCA, por lo que 3D Secure no se ejecuta durante una llamada de voz. Eso también significa que no hay cambio de responsabilidad en el fraude telefónico: el comercio asume el riesgo, por lo que otros controles importan.
¿Cuál es el equivalente a VbV para Mastercard y Amex?
La versión de Mastercard era SecureCode, ahora Mastercard Identity Check. American Express lo llama SafeKey. Todas son envolturas de marca sobre el mismo protocolo 3D Secure subyacente.
¿Una autenticación VbV correcta detiene todos los contracargos?
Solo los relacionados con fraude. Una autenticación 3DS correcta traslada la responsabilidad de los contracargos por uso no autorizado del comercio al emisor de la tarjeta. Las disputas por mercancía no recibida, productos defectuosos o servicios no acordes con la descripción siguen saliendo de su cuenta.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia