Puntos débiles del protocolo original

Aunque la amenaza de la delincuencia y el fraude a través de los pagos en línea está ampliamente reconocida, lo cierto es que la mayoría de los compradores en línea no han tenido que enfrentarse a ella directamente.

Por lo tanto, cuando se enfrentan a los pasos de autenticación en la fase de pago, o bien lo consideran innecesario y no lo ven más que como una irritación, o todo lo contrario: podrían no estar familiarizados con el proceso y verlo como una amenaza para la seguridad cuando se les pide que proporcionen información adicional.

Ambas circunstancias tienen un efecto perjudicial en la experiencia del cliente y pueden hacer que éste abandone la transacción. Esto tiene un impacto directo en las tasas de conversión y, como resultado, los comerciantes podrían no estar tan dispuestos a adoptar el protocolo en primer lugar.

El problema es que el fraude en línea no va a ninguna parte. De hecho, está empeorando, ya que los defraudadores están buscando formas más sofisticadas de secuestrar nuestros pagos en línea.

Por lo tanto, la seguridad que aporta 3D Secure es cada vez más relevante a medida que pasa el tiempo.

La solución es 3D Secure 2.0

EMVCo está abordando estas preocupaciones de frente con la especificación 3D Secure 2.0.

Esto incluye una completa integración móvil con el desarrollo de SDK, lo que permite a los comerciantes integrar fácilmente el proceso de autenticación 3D Secure en sus aplicaciones móviles.

Esto ha mejorado enormemente la experiencia 3DS en dispositivos móviles y ha permitido a los comerciantes proteger a sus clientes contra el fraude en una mayor variedad de plataformas.

3DS 2.0 también permite la autenticación sin pago, por ejemplo, cuando los usuarios introducen los datos de su tarjeta en un monedero móvil.

Un fuerte enfoque en SCA como la autenticación de dos factores (por ejemplo, contraseñas de un solo uso y autenticación biométrica) también significa que el protocolo está en línea con regulaciones como PSD2, lo que facilita el cumplimiento de las instituciones financieras que adoptan 3DS 2.0.

Por lo tanto, la seguridad que aporta 3D Secure es cada vez más relevante a medida que pasa el tiempo.

Qué es la autenticación basada en el riesgo?

La autenticación basada en el riesgo es simplemente el proceso de determinar el riesgo asociado a una transacción concreta y, en función del nivel de riesgo, si se debe o no desafiar al usuario con los pasos de autenticación adicionales.

Al admitir intercambios de datos más ricos y datos adicionales compartidos durante las transacciones en línea, 3D Secure 2.0 mejora la capacidad de autenticación basada en el riesgo de comerciantes y emisores.

Los elementos de datos adicionales en el momento de la transacción pueden ser utilizados tanto por el emisor como por el comerciante para tomar una decisión más informada sobre la conveniencia o no de seguir adelante con los pasos de autenticación 3D Secure.

Estos elementos basados en el riesgo incluyen:

• El valor de la transacción

• Cliente nuevo o existente

• Historial de transacciones

• Historial conductual

• Información sobre el dispositivo

Así, si el comerciante detecta que un usuario sin historial de transacciones utiliza una tarjeta nueva en el sistema, es probable que el riesgo se considere alto y se exija el proceso de autenticación.

Sin embargo, si el comerciante ya tiene la tarjeta en el sistema y el usuario ha realizado pagos anteriormente a través de la plataforma, el riesgo será bajo y se podrá eludir la autenticación 3D Secure para completar la transacción.

Del mismo modo, si el cliente tiene un historial de compras con la plataforma, pero tal vez la esté utilizando en un nuevo dispositivo que no ha usado antes, el comerciante podría decidir exigir la autenticación a través de 3DS, ya que ahora hay una variable desconocida.

Cómo favorece el flujo sin fricciones?

Gracias a la autenticación basada en el riesgo realizada en el ACS, el flujo sin fricción permite a los emisores aprobar una transacción sin necesidad de interactuar con el titular de la tarjeta.

Cuando el cliente realiza una compra en línea, añade un artículo a su cesta de la compra, rellena la información de compra habitual y procede a confirmar la compra.

Los detalles de la compra, incluidos los datos del dispositivo, el artículo adquirido y el valor, se envían al servidor ACS para determinar la autenticidad del titular de la tarjeta.

A continuación, el ACS lo examinará con los elementos basados en el riesgo. Si se considera que el riesgo es bajo, el ACS puede autenticar al cliente de forma pasiva y no molestarle con la confirmación adicional.

Se trata de un proceso sin fricciones para el cliente, ya que se realiza entre bastidores. Se les dirige directamente a la pantalla de confirmación de la compra, sin ni siquiera saber que su transacción ha sido examinada.

La plataforma del comerciante sólo exigirá autenticación adicional si el riesgo es alto. Mediante el uso de la autenticación basada en el riesgo, el plan con 3D Secure 2.0 es que esto ocurra sólo en un pequeño porcentaje de las transacciones.

Para los clientes, la ventaja es saber que sus pagos están protegidos y seguir disfrutando de una experiencia de compra sencilla y sin interrupciones.

La ventaja para los comerciantes es que siguen obteniendo los beneficios de implantar el protocolo 3D Secure en su plataforma, como la protección frente a devoluciones fraudulentas, pero al mismo tiempo se aseguran de que sus clientes están protegidos frente a transacciones no autorizadas.

El cliente tiene una experiencia sin fricciones a través de la plataforma del comerciante al no tener que enfrentarse a ningún reto. Esto significa que la tasa de abandono debida al protocolo 3DS se reducirá drásticamente y el cliente volverá encantado a la plataforma del comerciante.

Conclusión

Las transacciones no sólo serán más seguras gracias a la aplicación de métodos de protección reforzados, como la autenticación de dos factores, sino que la experiencia del usuario también mejorará considerablemente gracias a flujos sin fricciones a través de una autenticación basada en el riesgo.

Permite a los comerciantes ofrecer protección en múltiples plataformas con una fácil integración en sus sistemas, incluidas las aplicaciones móviles, sin dejar de aprovechar las ventajas que ofrece el protocolo. También se estima que las tasas de abandono de carritos disminuirán drásticamente.

Los emisores pueden compartir y recibir más datos con los comerciantes, lo que les proporciona una mayor visión de los patrones transaccionales que les permitirá determinar el riesgo con mayor precisión y, por tanto, mejorar el proceso de autenticación. 3DS 2.0 también ofrecerá a los bancos la oportunidad de cumplir sin esfuerzo los requisitos de la PSD2.

Para los clientes, las actualizaciones son quizá las más beneficiosas. Ahora pueden disfrutar de protección frente a transacciones fraudulentas en la mayoría de las plataformas.

Las transacciones no sólo serán más seguras gracias a la aplicación de métodos de protección reforzados, como la autenticación de dos factores, sino que la experiencia del usuario también mejorará considerablemente gracias a flujos sin fricciones a través de una autenticación basada en el riesgo.

Mike Lemberger, Vicepresidente Senior de Visa, resumió perfectamente las mejoras;

"Al ayudar a liderar el desarrollo de 3DS 2.0, podemos ofrecer un servicio de autenticación mejorado que hace que estos pagos sean más rápidos y seguros. Para los minoristas europeos, esto ayuda a abordar el reto actual de reducir el abandono de carritos en un mercado de comercio electrónico. Esta actualización también proporciona todas las herramientas necesarias para garantizar el cumplimiento de la PSD2 para los pagos con tarjeta, un beneficio importante que no debe subestimarse."