Los protocolos de seguridad 3D Secure (3DS) son un sistema de autenticación dentro del proceso de pago online desarrollado por las principales redes de pago internacionales, como Visa y Mastercard¹, con el fin de fortalecer el nivel de seguridad de las transacciones online realizadas con tarjeta.
Los protocolos 3DS se aplican mediante la activación de Verified by Visa y Mastercard Identity Check (reciente evolución de Mastercard Securecode, 2020) en las tarjetas de pago, proceso que minimiza el riesgo del uso fraudulento de la tarjeta al pedir una autentificación reforzada del comprador para el completamiento del pago.
El desarrollo de los protocolos 3D Secure se remonta a principios de los años 2000¹: gracias a su introducción, el ecosistema Ecommerce ha sido testigo de un aumento del nivel de seguridad de los pagos online que ha fomentado la confianza de los consumidores hacia un mundo conocido por unos pocos pioneros.
Los servicios de seguridad han añadido al proceso la fase de autenticación: para completar un pago ya no bastaba con introducir los datos de la tarjeta, sino que se requería también una contraseña definida por el comprador durante la fase de activación del servicio o un código temporal recibido por SMS o generado por un dispositivo proporcionado por el banco.
A lo largo de los años, los únicos cambios relevantes en los protocolos 3DS han atañido al proceso de autenticación, en que el SMS se ha vuelto el método preferencial debido al aumento del uso de los teléfonos móviles. Esta tendencia cambió en 2018 cuando la nueva Directiva de Servicios de Pago (PSD2) introdujo la Autenticación Reforzada de Clientes (SCA), la que requiso modificaciones importantes en la estructura de los sistemas de autenticación 3D Secure con el objetivo de aumentar la seguridad de los pagos online.
Los primeros protocolos 3DS tenían muchas limitaciones, incluso el hecho de que utilizaban una ventana emergente con URL diferente, lo que conllevaba el riesgo de ataques de phishing por parte de quienes quisieran cometer un fraude online simulando dicha página de autenticación. Además, almacenar una contraseña diferente para cada tarjeta complicaba la experiencia del usuario que poseía varias tarjetas de crédito o débito. A esto se sumaba el hecho de que no era obligatorio aplicar 3DS como medida de seguridad, lo que aumentaba los riesgos para el consumidor.
Esta situación ha cambiado con la llegada de los protocolos 3DS2, que obligan a aplicar la autenticación reforzada del cliente a partir del 31 de diciembre de 2020, fecha de vencimiento de la prórroga concedida por la Autoridad Bancaria Europea (EBA). La nueva versión del protocolo de seguridad, si se gestiona correctamente, garantiza una mayor tasa de aprobación y una reducción de los abandonos del carrito de la compra, lo que se traduce en una experiencia sin fricciones para el comprador. Su adopción incluso ofrece la ventaja de trasladar la responsabilidad de la transacción del comerciante al emisor (liability shift) para todas las transacciones tramitadas a través del protocolo, de modo que es la empresa que emite la tarjeta (emisor) la que responde de cualquier fraude.
En última instancia, 3DS2 asegura el cumplimiento de los estándares SCA, reduciendo el número de fraudes y mejorando la experiencia del consumidor en webs y apps.
Con los nuevos protocolos 3DS2, el nombre de usuario y la contraseña ya no son suficientes alcanzar un alto nivel de seguridad del pago, por lo que se requiere autenticarse involucrando al menos dos de los siguientes factores:
Un elemento conocido solo por el consumidor (FACTOR DE CONOCIMIENTO)
Un objeto propiedad del consumidor (FACTOR DE POSESIÓN)
Un elemento que caracteriza al consumidor (FACTOR DE INHERENCIA)
Un elemento llamativo es la adopción de la biometría como método de identificación, una tecnología ya utilizada ampliamente en la mayoría de los smartphones y que ha mejorado la seguridad tanto del acceso al dispositivo como la de muchas acciones disponibles, como las compras en los app stores.
Al solicitar un elemento conocido únicamente por el titular de la tarjeta, la autenticación 3D Secure reduce de forma drástica el riesgo de uso fraudulento de las tarjetas por parte de terceros, y la obligación de introducir estos protocolos – impuesta por la UE – ha contribuido a hacer evidente su eficacia frente a los intentos de estafas.
La activación de los servicios 3D Secure de las redes de tarjetas es responsabilidad de los emisores, que habilitan las tarjetas de los adquirentes para esta funcionalidad. En cambio, el contacto de referencia del comerciante es la entidad adquirente, que, antes de la llegada de la PSD2, podía conceder al comerciante la desactivación de los protocolos, ya que en algunos casos afectan las tasas de conversión.
De hecho, el comerciante siempre ha tenido la opción de solicitar a la entidad adquirente que desactivara los protocolos, aceptando los pagos de sus clientes aun sin introducción del código de autenticación. Esto repercutía negativamente en la seguridad del pago, pero ofrecía una mayor probabilidad de que tuviese éxito, considerando que el cliente tenía un paso menos que dar. Los protocolos 3DS2, en cambio, han trasladado al emisor la decisión de aplicar o no la autenticación de dos o más factores para cada transacción, por lo que la entidad adquirente y el comerciante se convierten en sujetos “pasivos” en la aplicación del 3D Secure.
De todas formas, los protocolos 3DS2 aportan beneficios evidentes. Al exigir la introducción de datos adicionales en las solicitudes de pago, el emisor puede realizar un análisis más preciso del riesgo de fraude, reduciendo la probabilidad de que se solicite la autenticación de más factores.
Aunque existan excepciones y exenciones a la aplicación de la SCA, la gestión de los protocolos 3DS2 se convierte en algo esencial para el comerciante que vería rechazadas las solicitudes de pago al no cumplir con la normativa.
Los protocolos 3DS2 brindan al comerciante la oportunidad de incluir campos opcionales en la solicitud de pago, para proporcionar un conjunto de datos adicional al emisor que contribuya a reducir la probabilidad de aplicación de la SCA a las transacciones. Esto puede suponer la revisión del recorrido del cliente en la web, la incorporación de campos útiles para la recopilación de datos y, por tanto, un aumento de la complejidad de la integración.
Un elemento clave para sacar el máximo partido de la PSD2 es conseguir que el mayor número posible de transacciones se beneficien de las excepciones y exenciones previstas, sin renunciar a altos niveles de seguridad. Guaranteed payments y Advice son dos de las soluciones de Fabrick que aprovechan precisamente estas oportunidades para garantizar un excelente servicio de prevención del fraude, reduciendo la fricción en la fase de pago y garantizando el reembolso de cualquier fraude no identificado.