El protocolo 3D Secure añade un paso de autenticación al realizar una compra en línea con tarjeta de crédito. Desde la implementación completa de la directiva europea DSP2, esta autenticación fuerte se ha convertido en la norma para la mayoría de las transacciones. Algunos sitios comerciales no activan este mecanismo, ya sea por elección técnica o porque se benefician de exenciones regulatorias. Comprar en estas plataformas expone a riesgos específicos, tanto para el titular de la tarjeta como para el comerciante.
Transferencia de responsabilidad en caso de fraude sin autenticación fuerte
El mecanismo menos visible para el comprador es también el más estructurante. Cuando un pago pasa por 3D Secure, la responsabilidad de una transacción fraudulenta se transfiere del comerciante al banco emisor de la tarjeta. Sin esta autenticación, el esquema se invierte.
Leer también : Cómo elegir los mejores asientos en el Théâtre du Palais Royal?
El Banco de Francia recuerda en su Panorama de la fraude en medios de pago 2024 que las reglas del Código monetario y financiero siguen aplicándose: el emisor debe reembolsar inmediatamente al pagador, salvo sospecha de fraude por parte de este último. La responsabilidad del reembolso recae en el proveedor de servicios de pago cuando un pago se ha realizado sin autenticación fuerte cuando esta era exigible.
En la práctica, esto significa que el consumidor sigue protegido por la ley. La situación es mucho más arriesgada para el comerciante que decide no activar 3D Secure: en caso de disputa, es él quien asume la pérdida financiera. Para entender por qué algunos comerciantes hacen esta elección a pesar de todo, una lista de sitios sin 3D Secure en Geekfinity detalla las motivaciones comerciales detrás de esta decisión.
Lectura complementaria : Consejos y estrategias para impulsar el crecimiento de su empresa en 2024
Fraude con tarjeta de crédito en sitios sin 3D Secure: una tasa más alta
El último informe del Observatorio de la seguridad de los medios de pago (OSMP) confirma una tendencia clara: el tasa de fraude en los pagos con tarjeta en línea está en continua disminución durante el período 2023-2024, gracias a la generalización de la autenticación fuerte y de 3D Secure 2.
El informe precisa que las transacciones realizadas sin autenticación fuerte, incluso cuando están permitidas por una exención regulatoria, concentran una parte significativamente mayor del fraude que las transacciones autenticadas. Comprar en un sitio que no activa esta verificación coloca, por lo tanto, la transacción en la categoría estadísticamente más expuesta.
Cómo un fraude explota la ausencia de 3D Secure
Sin autenticación fuerte, una compra fraudulenta solo requiere tres datos: el número de la tarjeta, su fecha de caducidad y el código de seguridad de tres cifras en la parte posterior. Investigadores han demostrado que estos datos pueden ser adivinados por fuerza bruta aprovechando las respuestas de los sistemas de pago de ciertos sitios, como informa el sitio Korben.
El escenario típico se desarrolla así:
- Un fraude recupera un número de tarjeta a través de un sitio de phishing o una filtración de datos.
- Prueba la tarjeta en un sitio sin 3D Secure, donde no se solicita ningún código por SMS ni validación biométrica.
- La transacción se valida en pocos segundos, sin que el titular de la tarjeta sea alertado antes de recibir su extracto bancario.
Este tipo de ataque se vuelve mucho más difícil, incluso imposible, cuando la autenticación fuerte requiere un factor adicional que el fraude no posee (acceso al teléfono, huella digital).
Exenciones DSP2: por qué algunos pagos pasan sin autenticación
No todos los pagos en línea sin 3D Secure son ilegítimos. La DSP2 prevé exenciones a la autenticación fuerte en casos específicos:
- Transacciones de bajo monto, por debajo de un umbral definido por la regulación.
- Operaciones recurrentes con el mismo comerciante después de una primera autenticación exitosa.
- Transacciones consideradas de bajo riesgo por el análisis en tiempo real del proveedor de pago (enfoque denominado “frictionless” de 3D Secure 2).
- Compras con beneficiarios de confianza previamente registrados por el titular de la tarjeta en su banco.
El modo “frictionless” de 3D Secure 2 merece una atención especial. La autenticación tiene lugar, pero es silenciosa: el sistema analiza en segundo plano decenas de parámetros (dispositivo utilizado, ubicación, historial de compras) para decidir si es necesaria una verificación activa del portador. La ausencia de un pop-up no significa la ausencia de protección.
La distinción es importante. Un sitio que se beneficia de una exención DSP2 permanece dentro de un marco regulatorio controlado. Un sitio que simplemente no ofrece 3D Secure, a menudo alojado fuera del Espacio Económico Europeo, no cuenta con ninguna de estas salvaguardas.
Verificar la seguridad de un sitio antes de una compra con tarjeta en línea
Antes de ingresar información bancaria en un sitio que no activa autenticación, varios puntos permiten evaluar el nivel de riesgo real.
La presencia del candado HTTPS en la barra de direcciones garantiza el cifrado de los datos en tránsito, pero no dice nada sobre la fiabilidad del comerciante. Un sitio fraudulento puede perfectamente tener un certificado SSL.
Los métodos de pago alternativos ofrecen una capa de protección adicional. Las tarjetas de crédito virtuales, ofrecidas por la mayoría de los bancos y fintechs, generan un número de tarjeta de uso único que se vuelve inutilizable después de la transacción. Incluso en caso de filtración de datos, la información recuperada no permite ninguna compra posterior.
El sitio del Ministerio de Economía también recomienda nunca registrar sus datos bancarios en un sitio comercial y evitar redes Wi-Fi públicas para realizar transacciones.
La tendencia regulatoria va hacia un refuerzo de la autenticación, no hacia un relajamiento. La futura directiva DSP3 prevé un marco aún más estricto para las exenciones y una extensión del ámbito de la autenticación fuerte. Los sitios que hoy evitan 3D Secure por conveniencia comercial deberán adaptar sus prácticas o aceptar asumir un riesgo financiero creciente en cada disputa de transacción.