3D Secure: Visa y Mastercard se hacen más seguras
Muchos clientes del comercio electrónico pagan online con sus tarjetas de crédito, ya sea para comprar viajes en avión, hacer reservas de hotel o adquirir ropa. A medida que se envía información sensible, se deben tomar precauciones especiales para garantizar la seguridad del consumidor. En el transcurso de la PSD2, la UE ha impuesto exigencias aún mayores a los sistemas de pago en Internet, y las entidades de tarjetas de crédito han reaccionado en consecuencia. Con la nueva versión del proceso 3D Secure, VISA y Mastercard cumplen la normativa de la UE y mejoran la protección del cliente.
¿Qué es 3D Secure: código, contraseña y TAN?
La empresa de tarjetas de crédito VISA ya desarrolló en el año 2000 un procedimiento que debía hacer más seguro el uso de tarjetas de crédito en Internet. La propia empresa denomina a la tecnología empleada “Verified by VISAˮ. Al mismo tiempo, otros proveedores de tarjetas de crédito también han implementado el mecanismo de seguridad. Por ejemplo, 3D Secure en Mastercard se denominaba “SecureCodeˮ (aunque ahora recibe el nombre de “Identity Checkˮ), “SafeKeyˮ para American Express y “J/Secureˮpara JCB.
Anteriormente, el pago con tarjeta de crédito en Internet era muy sencillo. Simplemente introducías los datos de tu tarjeta de crédito en los campos correspondientes, confirmabas la posesión de la tarjeta con el código de validación de la tarjeta (CVC por sus siglas en inglés) que se encuentra en la parte posterior de esta y hacías en cargo en la tarjeta con tan solo un clic del ratón. Esto suponía que cualquiera que tuviera en su poder tu tarjeta de crédito podría comprar productos -incluso aquellos con precios altos- a través de Internet. Era obvio que este método no era seguro.
A medida que el sector del comercio electrónico siguió creciendo y cada vez más personas pagaban online con tarjetas de crédito, aumentó también el interés de los delincuentes por conseguir la información de las tarjetas. Especialmente a través del phishing y la ingeniería social, los delincuentes conseguían tener acceso a los datos. Precisamente para contener este avance, se desarrolló 3D Secure.
Este procedimiento requiere, además de la información contenida en la tarjeta (es decir, confirmando su posesión), la provisión de información adicional como, por ejemplo, una contraseña que solo el titular legítimo de la tarjeta de crédito conoce. Por lo tanto, se trata de una autenticación de dos factores basada en la solicitud de dos elementos diferentes para que se haga el cargo a la tarjeta de crédito.
Para ello, el consumidor es redirigido a la web de la compañía de la tarjeta de crédito y se le pide que introduzca allí unos datos de seguridad adicional. El segundo factor sólo es comunicado por el usuario al banco o a la compañía de la tarjeta de crédito. El operador de la tienda online, finalmente, recibe la confirmación de que el uso de la tarjeta es legal. Pero incluso este método no ha resultado ser muy seguro. Durante el año 2016, el volumen de fraude en el área de la SEPA según el informe del Banco Central Europeo sobre el fraude con tarjetas en el área de la SEPA aumentó hasta llegar a 1.320 millones de euros.
El uso de contraseñas estáticas no es adecuado desde el punto de vista de la seguridad. Una vez que haya terceros que lo sepan, la protección de dicha información se ve comprometida. Los métodos dinámicos que se adaptan a cada proceso son, por lo tanto, más adecuados. Por ejemplo, puede utilizarse un mensaje de texto con un código seguro generado según procedimientos crípticos.
Tanto los clientes como los comerciantes online estaban insatisfechos con la primera versión de 3D Secure. La página web para introducir el factor de seguridad adicional era muy poco atractiva, la aplicación y el uso de la contraseña requerida no estaban claros y el proceso no podía integrarse satisfactoriamente en las aplicaciones móviles. Los clientes se enfadaban constantemente y cancelaban los procesos de pedido, lo que a su vez dañaba las conversiones y enfurecía a los comerciantes online.
La segunda versión de 3D Secure, también conocida como 3DS2, aborda estos problemas y mejora la seguridad. Las nuevas características también cumplen con las Directivas de servicios de pago de la UE. Además, las entidades de tarjetas de crédito están reaccionando a los avances técnicos con la nueva versión. Hoy en día, los dispositivos modernos (por ejemplo, los teléfonos inteligentes) ofrecen, sobre todo, la autenticación utilizando datos biométricos: por huella dactilar o mediante el análisis de rasgos faciales.
3D Secure 2.0 está diseñado de tal manera que los comerciantes online pueden integrar el procedimiento en el proceso de pago. Esto da lugar a una experiencia de compra más agradable para el cliente pues se basa en un sistema inteligente. En consecuencia, el método de autenticación se adapta al riesgo; los requisitos de seguridad son menos estrictos en el caso de pequeñas cantidades de dinero que en el de las grandes. Además, 3DS2 se puede utilizar para pagos móviles y funciona con aplicaciones de bancos.
Ventajas y desventajas de 3D Secure
El proceso 3D Secure tiene ventajas tanto para los minoristas como para los consumidores, pero también presenta desventajas.
| Ventajas | Desventajas |
|---|---|
| Más seguridad para los clientes | Más esfuerzo para los clientes |
| Los proveedores de tarjetas de crédito soportan los costes del fraude a pesar de 3D Secure (inversión de responsabilidad). | Los distribuidores pierden conversiones |
| El procedimiento es gratuito para clientes y distribuidores | No se puede garantizar al cien por cien la seguridad |
¿Para qué deben estar preparados los clientes?
Para los consumidores, el proceso 3D Secure debería proporcionar una mejor experiencia de pago. En lugar de utilizar el viejo proceso o abandonar por completo el control de seguridad, los usuarios pueden beneficiarse ahora de un proceso seguro y moderno. Como cliente tienes que contar con esto:
- Regístrate: para poder utilizar una tarjeta con 3D Secure es necesario que te registres en tu banco. El banco que emitió la tarjeta de crédito es el responsable.
- Instalación: se puede suponer que en el futuro los bancos utilizarán aplicaciones para enviar el código 3D Secure o solicitar datos biométricos.
- Manténte a la espera: al hacer el pago con 3D Secure tienes que tener cerca tu tarjeta de crédito y tu teléfono inteligente.
Incluso con 3D Secure, los usuarios deben prestar atención al pagar con su tarjeta de crédito en Internet. Sólo se pueden introducir datos confidenciales si estás seguro de que te encuentras en el sitio web correcto. Un certificado válido SSL es una indicación de que puedes confiar en esa página web.
Implicaciones para el comercio online
La Directiva 2015/2366 sobre servicios de pago de la UE estipula que a partir del 14 de septiembre de 2019 los pagos online deben cumplir una serie de normas de seguridad especiales y 3D Secure cumple con los nuevos requisitos. Para poder utilizar el nuevo procedimiento, los comerciantes online deben ponerse en contacto con su proveedor de servicios de pago (PSP). El PSP debe ofrecer una solución técnica que los comerciantes solo tendrán que implementar en su tienda online.
- Contacto PSP: en primer lugar, los comerciantes online deben ponerse en contacto con sus proveedores de servicios de pago. Muchos proveedores ya han publicado información sobre los comerciantes en sus sitios web.
- Implementar 3DS2: dado que la autenticación 3D Secure ya no tiene lugar en otro sitio web, sino directamente en la tienda, la tecnología debe integrarse en la tienda online.
En términos de PSD2 y de la autenticación de cliente fuerte (SCA) anclada en él, no todos los pagos necesitan ser verificados contra los altos estándares ofrecidos por 3D Secure. Por ejemplo, los pagos inferiores a 30 euros no requieren un alto nivel de seguridad. Pero ten cuidado porque estas y otras evaluaciones de riesgo no están a discreción del comerciante, sino que son llevadas a cabo por el banco.
Incluso más allá de los requisitos legales, vale la pena que los comerciantes ofrezcan 3D Secure en sus tiendas online. El nuevo sistema es mucho más fácil de usar para los clientes, se lleva a cabo íntegramente en la página web del comerciante y aumenta la confianza del consumidor en el comercio electrónico. Esto, a su vez, lleva a más conversiones y, por tanto, a más ventas.