La empresa de tarjetas de crédito VISA ya desarrolló en el año 2000 un procedimiento que debía hacer más seguro el uso de tarjetas de crédito en Internet. La propia empresa denomina a la tecnología empleada “Verified by VISAˮ. Al mismo tiempo, otros proveedores de tarjetas de crédito también han implementado el mecanismo de seguridad. Por ejemplo, 3D Secure en Mastercard se denominaba “SecureCodeˮ (aunque ahora recibe el nombre de “Identity Checkˮ), “SafeKeyˮ para American Express y “J/Secureˮpara JCB.
Anteriormente, el pago con tarjeta de crédito en Internet era muy sencillo. Simplemente introducías los datos de tu tarjeta de crédito en los campos correspondientes, confirmabas la posesión de la tarjeta con el código de validación de la tarjeta (CVC por sus siglas en inglés) que se encuentra en la parte posterior de esta y hacías en cargo en la tarjeta con tan solo un clic del ratón. Esto suponía que cualquiera que tuviera en su poder tu tarjeta de crédito podría comprar productos -incluso aquellos con precios altos- a través de Internet. Era obvio que este método no era seguro.
A medida que el sector del comercio electrónico siguió creciendo y cada vez más personas pagaban online con tarjetas de crédito, aumentó también el interés de los delincuentes por conseguir la información de las tarjetas. Especialmente a través del phishing y la ingeniería social, los delincuentes conseguían tener acceso a los datos. Precisamente para contener este avance, se desarrolló 3D Secure.
Este procedimiento requiere, además de la información contenida en la tarjeta (es decir, confirmando su posesión), la provisión de información adicional como, por ejemplo, una contraseña que solo el titular legítimo de la tarjeta de crédito conoce. Por lo tanto, se trata de una autenticación de dos factores basada en la solicitud de dos elementos diferentes para que se haga el cargo a la tarjeta de crédito.
Para ello, el consumidor es redirigido a la web de la compañía de la tarjeta de crédito y se le pide que introduzca allí unos datos de seguridad adicional. El segundo factor sólo es comunicado por el usuario al banco o a la compañía de la tarjeta de crédito. El operador de la tienda online, finalmente, recibe la confirmación de que el uso de la tarjeta es legal. Pero incluso este método no ha resultado ser muy seguro. Durante el año 2016, el volumen de fraude en el área de la SEPA según el informe del Banco Central Europeo sobre el fraude con tarjetas en el área de la SEPA aumentó hasta llegar a 1.320 millones de euros.
El uso de contraseñas estáticas no es adecuado desde el punto de vista de la seguridad. Una vez que haya terceros que lo sepan, la protección de dicha información se ve comprometida. Los métodos dinámicos que se adaptan a cada proceso son, por lo tanto, más adecuados. Por ejemplo, puede utilizarse un mensaje de texto con un código seguro generado según procedimientos crípticos.
Tanto los clientes como los comerciantes online estaban insatisfechos con la primera versión de 3D Secure. La página web para introducir el factor de seguridad adicional era muy poco atractiva, la aplicación y el uso de la contraseña requerida no estaban claros y el proceso no podía integrarse satisfactoriamente en las aplicaciones móviles. Los clientes se enfadaban constantemente y cancelaban los procesos de pedido, lo que a su vez dañaba las conversiones y enfurecía a los comerciantes online.
La segunda versión de 3D Secure, también conocida como 3DS2, aborda estos problemas y mejora la seguridad. Las nuevas características también cumplen con las Directivas de servicios de pago de la UE. Además, las entidades de tarjetas de crédito están reaccionando a los avances técnicos con la nueva versión. Hoy en día, los dispositivos modernos (por ejemplo, los teléfonos inteligentes) ofrecen, sobre todo, la autenticación utilizando datos biométricos: por huella dactilar o mediante el análisis de rasgos faciales.
3D Secure 2.0 está diseñado de tal manera que los comerciantes online pueden integrar el procedimiento en el proceso de pago. Esto da lugar a una experiencia de compra más agradable para el cliente pues se basa en un sistema inteligente. En consecuencia, el método de autenticación se adapta al riesgo; los requisitos de seguridad son menos estrictos en el caso de pequeñas cantidades de dinero que en el de las grandes. Además, 3DS2 se puede utilizar para pagos móviles y funciona con aplicaciones de bancos.