¿Qué son los pagos con 3D Secure?

Cualquiera que haya comprado alguna vez en Internet conoce el sistema 3D Secure… o al menos ha sido su usuario sin saberlo.  También conocido como 3-D Secure, 3DS o 3-D Secure, se trata de un sistema de autenticación de pagos online, que busca reforzar la seguridad de las compras electrónicas realizadas con tarjeta de crédito o débito. Todo ello para evitar las transacciones no autorizadas y combatir el fraude.

Desarrollado en los albores del comercio electrónico en 1999, primero fue implementado por Visa. Posteriormente fue adaptado por la mayoría de las redes globales, convirtiéndose casi en un estándar de la industria, bajo marcas como: Verified by Visa, Mastercard SecureCode, American Express SafeKey, Discover ProtectBuy y Secure Online Transactions.

Con la nueva directiva europea de pagos online (PSD2), la llamada autenticación en dos pasos y, consecuentemente, el 3D Secure pasaron a ser prácticamente obligatorios en los países de la Unión Europea, desde septiembre de 2019. De hecho, para finales de 2020, se espera que la mayoría de los comercios y bancos adopten su versión actualizada: 3D Secure 2.0.

El protocolo 3D Secure 2.0 se pone al día en cuanto a los pagos móviles, refuerza las medidas de seguridad y mejora la experiencia de usuario. De esta manera, no sólo reduce el fraude, sino que evita las fricciones que provocaba el abandono del carrito de compra al final del proceso de pago.

¿Qué es y cómo funcionan exactamente los pagos con 3D Secure?

3D Secure es un protocolo de seguridad que tiene como objetivo prevenir el fraude en las transacciones online hechas con tarjeta de crédito o débito. Su nomenclatura viene de "Three Domain Secure" o tres dominios seguros. Se refiere a las tres partes involucradas en cualquier pago online: el comercio, el emisor de la tarjeta y la red que procesa el pago; es decir, el banco del usuario que está haciendo la compra.

Como protocolo, 3D Secure es una tecnología antifraude de encriptación que utiliza Secure Socket Layer (SSL) para transmitir información de ida y vuelta de forma segura. Cuando estamos realizando una compra online, 3D Secure añade una capa de datos -histórico de compras, dispositivos utilizados, patrones de transacciones, etc.- que ayudan a identificar al usuario y verificar su identidad, para acreditarlo como el titular de la tarjeta.

Como ya habremos experimentado, a la hora de formalizar el pago de una compra online, no sólo debemos introducir los datos básicos: número de tarjeta, fecha de caducidad y código CVV. Con 3D Secure nos piden también un dato adicional como autenticación reforzada. Este dato extra puede ser un PIN o contraseña, un código enviado vía SMS, una clave generada por un token o una app, o un código de una tarjeta de coordenadas.

Toda esta última comprobación se realiza a través de una conexión directa entre el eCommerce y el banco emisor de la tarjeta, en un entorno seguro con encriptación de datos. Así, el comercio nunca accede a la información específica del usuario. La entidad bancaria es la encargada de autenticar la identidad del comprador, aprobando o rechazando el pago con tarjeta.

3D Secure fue creado para poner límites a las transacciones no autorizadas y fraudes que se venían detectando en las compras por Internet. Su adopción en la Unión Europea a partir de la normativa PSD2 ya ha comenzado a rendir frutos, incluso en España, tal y como lo resalta la OCU en su análisis del informe sobre fraudes del Banco de España.

¿Qué novedades trae el 3D Secure 2.0? ¿Cómo encaja con la PSD2?

El primer objetivo de la nueva  directiva europea de pagos PSD2 es reforzar la seguridad de las operaciones online. 3D Secure fue diseñado precisamente para evitar los fraudes con tarjeta de crédito o débito en operaciones donde no existe una presencia física de la tarjeta. Con la entrada en vigor de la PSD2, se espera la adopción mayoritaria de la nueva versión del protocolo 3D Secure.

3D Secure 2.0 elimina las claves de seguridad estáticas, para dar paso a la autenticación basada en riesgos. El protocolo permite enviar más de 100 puntos de datos para el análisis de riesgo -como dirección IP, dirección de envío, información del dispositivo y otros datos del cliente. Esta información permite al banco evaluar cada operación, para realizar una autenticación sólida.

De cara al comprador, el protocolo ofrece formas más flexibles de autenticación. Así, por ejemplo, se introducen métodos adaptados a los dispositivos móviles, como reconocimiento facial y huella dactilar. Para cumplir con la directiva PSD2, se eliminan las claves de seguridad estáticas y los códigos generados por tarjetas de coordenadas. En su lugar, se da preponderancia a los códigos de un solo uso, enviados al móvil por SMS o a través de una app.

Asimismo, se mejora la experiencia de usuario al eliminar las ventanas emergentes para la finalización del pago. Estas ventanas creaban algunos inconvenientes de funcionalidad, especialmente para los usuarios con bloqueadores de anuncios en el navegador de Internet. Además, a veces generaban desconfianza, al presentar un aspecto diferente al entorno donde se inició la compra.

Con 3D Secure 2.0 se ha optimizado también para dispositivos móviles, con opciones de pago nativas en lugar de iframes, ventanas emergentes o redireccionamientos.

Con todos estos cambios, el tiempo medio de autenticación ya se ha reducido mundialmente de 42 segundos a 37 segundos, según las  primeras evaluaciones. En los países europeos la mejora ha sido aún más espectacular, incluso en los pagos considerados de bajo riesgo o sin fricciones, que permiten la autorización sin interacción adicional con el titular de la tarjeta.

Si bien 3D Secure 2.0 no es un requisito explícito de la directiva europea PSD2, la tendencia es su adopción por parte de entidades financieras y comercios. Esto debido a que ayuda a cumplir con la verificación de identidad en dos pasos, así como con gran parte de las nuevas reglas y regulaciones sobre seguridad y protección de datos.