3-D Secure es un protocolo diseñado para ser una capa de seguridad adicional para transacciones en línea con tarjetas de crédito y débito . El nombre se refiere a los "tres dominios" que interactúan utilizando el protocolo: el dominio del comerciante / adquirente, el dominio del emisor y el dominio de interoperabilidad. [1]
Fue desarrollado originalmente por Arcot Systems (ahora CA Technologies ) y Visa Inc. [2] con la intención de mejorar la seguridad de los pagos por Internet, y ofrecido a los clientes bajo la marca Verified by Visa (luego rebautizada como Visa Secure ). Los servicios basados en el protocolo también han sido adoptados por Mastercard como SecureCode , por Discover como ProtectBuy, [3] por JCB International como J / Secure y por American Express como American Express SafeKey . [4]EMVCo ha realizado revisiones posteriores del protocolo con el nombre de EMV 3-D Secure . La versión 2 del protocolo se publicó en 2016 con el objetivo de cumplir con los nuevos requisitos de autenticación de la UE y resolver algunas de las deficiencias del protocolo original. [5]
El análisis de la primera versión del protocolo por parte de la academia ha demostrado que tiene muchos problemas de seguridad que afectan al consumidor, incluida una mayor superficie para el phishing y un cambio de responsabilidad en el caso de pagos fraudulentos. [6]
Descripción y aspectos básicos
El concepto básico del protocolo es vincular el proceso de autorización financiera con la autenticación en línea. Esta autenticación de seguridad adicional se basa en un modelo de tres dominios (de ahí el 3-D en el nombre mismo). Los tres dominios son:
- Dominio adquirente (el banco y el comerciante al que se le paga el dinero).
- Dominio del emisor (el emisor de la tarjeta que se utiliza).
- Dominio de interoperabilidad (la infraestructura proporcionada por el esquema de tarjeta, crédito, débito, prepago u otro tipo de tarjeta de pago, para soportar el protocolo 3-D Secure). Incluye Internet, complemento comercial, servidor de control de acceso y otros proveedores de software.
El protocolo utiliza mensajes XML enviados a través de conexiones SSL con autenticación de cliente [7] (esto asegura la autenticidad de ambos pares, el servidor y el cliente, mediante certificados digitales).
Una transacción que utilice Verified-by-Visa o SecureCode iniciará una redirección al sitio web del emisor de la tarjeta para autorizar la transacción. Cada emisor podría usar cualquier tipo de método de autenticación (el protocolo no cubre esto) pero, por lo general, se ingresa una contraseña vinculada a la tarjeta al realizar compras en línea. El protocolo Verified-by-Visa recomienda que la página de verificación del emisor de la tarjeta se cargue en una sesión de marco en línea . De esta manera, los sistemas del emisor de la tarjeta pueden ser considerados responsables de la mayoría de las violaciones de seguridad. Hoy en día es fácil enviar una contraseña de un solo uso como parte de un mensaje de texto SMS a los teléfonos móviles y correos electrónicos de los usuarios para la autenticación, al menos durante la inscripción y para las contraseñas olvidadas.
La principal diferencia entre las implementaciones de Visa y Mastercard radica en el método para generar el UCAF (Campo de autenticación universal del titular de la tarjeta): Mastercard usa AAV (Valor de autenticación del titular de la cuenta) y Visa usa CAVV (Valor de verificación de la autenticación del titular de la tarjeta). [ aclaración necesaria ]
Proveedores de ACS
En el protocolo 3-D Secure, el ACS (servidor de control de acceso) está del lado del emisor de la tarjeta. Actualmente, la mayoría de los emisores de tarjetas subcontratan ACS a un tercero. Por lo general, el navegador web del comprador muestra el nombre de dominio del proveedor de ACS, en lugar del nombre de dominio del emisor de la tarjeta; sin embargo, esto no es requerido por el protocolo. Dependiendo del proveedor de ACS, es posible especificar un nombre de dominio propiedad del emisor de la tarjeta para que lo utilice el ACS.
Proveedores de MPI
Cada transacción de la versión 1 de 3-D Secure implica dos pares de solicitud / respuesta de Internet: VEReq / VERes y PAReq / PARes. [8] Visa y Mastercard no permiten que los comerciantes envíen solicitudes directamente a sus servidores. En su lugar, los comerciantes deben utilizar proveedores de MPI ( complemento comercial ).
Comerciantes
La ventaja para los comerciantes es la reducción de las devoluciones de cargo por "transacciones no autorizadas" . Una desventaja para los comerciantes es que tienen que comprar un complemento comercial (MPI) para conectarse al servidor de directorio Visa o Mastercard. Esto es caro [se necesita aclaración ] (tarifa de instalación, tarifa mensual y tarifa por transacción); al mismo tiempo, representa ingresos adicionales para los proveedores de MPI. La compatibilidad con 3-D Secure es complicada y, en ocasiones, genera errores en las transacciones. Quizás la mayor desventaja para los comerciantes es que muchos usuarios ven el paso de autenticación adicional como una molestia u obstáculo, lo que resulta en un aumento sustancial en el abandono de transacciones y la pérdida de ingresos. [9]
Compradores y titulares de tarjetas de crédito
En la mayoría de las implementaciones actuales de 3-D Secure, el emisor de la tarjeta o su proveedor de ACS solicita al comprador una contraseña que solo conocen el emisor de la tarjeta o el proveedor de ACS y el comprador. Dado que el comerciante no conoce esta contraseña y no es responsable de capturarla, el emisor de la tarjeta puede utilizarla como prueba de que el comprador es efectivamente el titular de la tarjeta. Esto tiene como objetivo ayudar a disminuir el riesgo de dos maneras:
- Copiar los detalles de la tarjeta, ya sea escribiendo los números en la propia tarjeta o mediante terminales o cajeros automáticos modificados, no da como resultado la posibilidad de comprar a través de Internet debido a la contraseña adicional, que no está almacenada ni escrita en la tarjeta. .
- Dado que el comerciante no captura la contraseña, existe un riesgo reducido de incidentes de seguridad en los comerciantes en línea; Si bien un incidente puede provocar que los piratas informáticos obtengan otros detalles de la tarjeta, no hay forma de que obtengan la contraseña asociada.
3-D Secure no requiere estrictamente el uso de autenticación de contraseña. Se dice que es posible [ cita requerida ] usarlo junto con lectores de tarjetas inteligentes , tokens de seguridad y similares. Estos tipos de dispositivos pueden proporcionar una mejor experiencia de usuario para los clientes, ya que liberan al comprador de tener que usar una contraseña segura. Algunos emisores ahora utilizan estos dispositivos como parte del Programa de autenticación de chip o esquemas de autenticación de código de acceso dinámico. [ cita requerida ]
Una desventaja significativa es que es probable que los titulares de tarjetas vean que su navegador se conecta a nombres de dominio desconocidos como resultado de las implementaciones de MPI de los proveedores y el uso de implementaciones de ACS subcontratadas por los emisores de tarjetas, lo que podría facilitar la realización de ataques de phishing a los titulares de tarjetas.
Critica general
Verificabilidad de la identidad del sitio
El sistema involucra una ventana emergente o un marco en línea que aparece durante el proceso de transacción en línea, requiriendo que el titular de la tarjeta ingrese una contraseña que, si la transacción es legítima, el emisor de la tarjeta podrá autenticar. El problema para el titular de la tarjeta es determinar si la ventana emergente o el marco es realmente del emisor de la tarjeta cuando podría ser de un sitio web fraudulento que intenta recopilar los datos del titular de la tarjeta. Tales ventanas emergentes o marcos basados en scripts carecen de acceso a cualquier certificado de seguridad, lo que elimina cualquier forma de confirmar las credenciales de la implementación de 3-DS.
El sistema Verified-by-Visa ha generado algunas críticas, [10] [11] [12] [13] ya que es difícil para los usuarios diferenciar entre la ventana emergente o el marco en línea legítimos de Verified-by-Visa, y un sitio fraudulento de phishing. Esto se debe a que la ventana emergente proviene de un dominio que es:
- No es el sitio donde el usuario está comprando
- No es el emisor de la tarjeta
- No visa.com o mastercard.com
En algunos casos, los usuarios han confundido el sistema Verified-by-Visa con una estafa de phishing [14] y se ha convertido en sí mismo en el objetivo de algunas estafas de phishing. [15] La recomendación más reciente de usar un marco en línea ( iframe ) en lugar de una ventana emergente ha reducido la confusión del usuario, a costa de hacer más difícil, si no imposible, que el usuario verifique que la página es genuina en la primera lugar. A partir de 2011, [ necesita actualización ] la mayoría de los navegadores web no proporcionan una forma de verificar el certificado de seguridad para el contenido de un iframe. Sin embargo, algunas de estas preocupaciones sobre la validez del sitio para Verified-by-Visa se mitigan, ya que la implementación actual del proceso de inscripción requiere ingresar un mensaje personal que se muestra en ventanas emergentes de Verified-by-Visa posteriores para brindar cierta seguridad al usuario, las ventanas emergentes son genuinas. [dieciséis]
Algunos emisores de tarjetas también utilizan activación durante la compra (ADS), [17] en el que los titulares de tarjetas que no están registrados en el sistema tienen la oportunidad de registrarse (o se ven obligados a registrarse) durante el proceso de compra. Por lo general, esto los llevará a una forma en la que se espera que confirmen su identidad respondiendo preguntas de seguridad que deben ser conocidas por el emisor de su tarjeta. Una vez más, esto se hace dentro del iframe donde no pueden verificar fácilmente el sitio al que están proporcionando esta información; un sitio crackeado o un comerciante ilegítimo podría de esta manera recopilar todos los detalles que necesitan para hacerse pasar por el cliente.
La implementación del registro de 3-D Secure a menudo no permitirá que un usuario continúe con una compra hasta que haya aceptado registrarse en 3-D Secure y sus términos y condiciones, sin ofrecer ninguna forma alternativa de navegar fuera de la página que cerrándolo, suspendiendo así la transacción.
Los titulares de tarjetas que no estén dispuestos a correr el riesgo de registrar su tarjeta durante una compra, con el sitio de comercio controlando el navegador hasta cierto punto, pueden en algunos casos ir al sitio web del emisor de su tarjeta en una ventana separada del navegador y registrarse desde allí. Cuando regresen al sitio de comercio y comiencen de nuevo, deberían ver que su tarjeta está registrada. La presencia en la página de la contraseña del mensaje de seguridad personal (PAM) que eligieron al registrarse es su confirmación de que la página proviene del emisor de la tarjeta. Esto todavía deja alguna posibilidad de un ataque de intermediario si el titular de la tarjeta no puede verificar el certificado del servidor SSL para la página de contraseña. Algunos sitios comerciales dedicarán toda la página del navegador a la autenticación en lugar de utilizar un marco (no necesariamente un iFrame), que es un objeto menos seguro. En este caso, el icono de candado en el navegador debe mostrar la identidad del emisor de la tarjeta o del operador del sitio de verificación. El titular de la tarjeta puede confirmar que se encuentra en el mismo dominio que visitó al registrar su tarjeta si no es el dominio del emisor de su tarjeta.
Los navegadores móviles presentan problemas particulares para 3-D Secure, debido a la falta común de ciertas características como marcos y ventanas emergentes. Incluso si el comerciante tiene un sitio web para dispositivos móviles, a menos que el emisor también sea compatible con dispositivos móviles, es posible que las páginas de autenticación no se muestren correctamente, o incluso no se muestren. Al final, muchos analistas [ imprecisos ] han concluido que los protocolos de activación durante la compra (ADS) invitan a más riesgo del que eliminan y, además, transfieren este mayor riesgo al consumidor.
En algunos casos, 3-D Secure termina brindando poca seguridad al titular de la tarjeta y puede actuar como un dispositivo para pasar la responsabilidad por transacciones fraudulentas del emisor o minorista de la tarjeta al titular de la tarjeta. Las condiciones legales aplicadas al servicio 3-D Secure a veces están redactadas de una manera que dificulta al titular de la tarjeta eludir su responsabilidad por transacciones fraudulentas de "titular de la tarjeta no presente". [18]
Discriminación geográfica
Los emisores de tarjetas y los comerciantes pueden usar sistemas 3-D Secure de manera desigual con respecto a los emisores de tarjetas que emiten tarjetas en varias ubicaciones geográficas, creando una diferenciación, por ejemplo, entre las tarjetas nacionales emitidas en EE. UU. Y fuera de EE. UU. Por ejemplo, dado que Visa y Mastercard tratan el territorio estadounidense no incorporado de Puerto Rico como una ubicación internacional fuera de los EE. UU., En lugar de una ubicación nacional en los EE. UU., Los titulares de tarjetas pueden enfrentar una mayor incidencia de consultas 3-D Secure que los titulares de tarjetas en los cincuenta estados. Se han recibido denuncias a tal efecto en el sitio de discriminación económica de "trato igualitario" del Departamento de Asuntos del Consumidor de Puerto Rico . [19]
3-D Secure como una sólida autenticación de clientes
La versión 2 de 3-D Secure, que incorpora contraseñas de un solo uso, es una forma de autenticación sólida de clientes basada en software según lo define la Directiva revisada de servicios de pago (PSD2) de la UE ; las variantes anteriores usaban contraseñas estáticas, que no son suficientes para cumplir con los requisitos de la directiva.
3-D Secure confía en que el emisor participe activamente y se asegure de que el titular de la tarjeta inscriba cualquier tarjeta emitida; como tal, los adquirentes deben aceptar tarjetas no inscritas sin realizar una autenticación de cliente sólida o rechazar dichas transacciones, incluidas aquellas de esquemas de tarjetas más pequeños que no tienen implementaciones de 3-D Secure.
Los enfoques alternativos realizan la autenticación en el lado adquirente, sin requerir la inscripción previa con el emisor. Por ejemplo, la 'verificación' patentada de PayPal [20] utiliza una o más transacciones ficticias dirigidas a una tarjeta de crédito, y el titular de la tarjeta debe confirmar el valor de estas transacciones, aunque la autenticación resultante no puede estar directamente relacionada con una transacción específica entre comerciante y titular de la tarjeta. Un sistema patentado [21] llamado iSignthis divide el monto de la transacción acordada en dos (o más) montos aleatorios, y el titular de la tarjeta demuestra que es el propietario de la cuenta al confirmar los montos en su estado de cuenta. [22]
La ACCC bloquea la propuesta 3-D Secure
La Comisión Australiana de Competencia y Consumidores (ACCC) bloqueó una propuesta para hacer que 3-D Secure sea obligatorio en Australia después de que se recibieran numerosas objeciones y presentaciones relacionadas con fallas. [23]
India
Algunos países, como India, hicieron uso no solo de CVV2, sino de 3-D Secure obligatorio, un código SMS enviado por el emisor de una tarjeta y escrito en el navegador cuando se te redirige al hacer clic en "comprar" al sistema de pago o al sitio del sistema del emisor de la tarjeta donde escriba ese código y solo entonces se aceptará la operación. Sin embargo, Amazon todavía puede realizar transacciones desde otros países con 3-D Secure activado. [24]
3-D Secure 2.0
En octubre de 2016, EMVCo publicó la especificación para 3-D Secure 2.0; está diseñado para ser menos intrusivo que la primera versión de la especificación, lo que permite enviar más datos contextuales al emisor de la tarjeta del cliente (incluidas las direcciones postales y el historial de transacciones) para verificar y evaluar el riesgo de la transacción. El cliente solo deberá aprobar un desafío de autenticación si se determina que su transacción es de alto riesgo. Además, el flujo de trabajo para la autenticación está diseñado para que ya no requiera redirecciones a una página separada y también pueda activar la autenticación fuera de banda a través de la aplicación móvil de una institución (que, a su vez, también se puede usar con autenticación biométrica ). . 3-D Secure 2.0 cumple con los mandatos de " autenticación fuerte de clientes " de la UE . [5] [25] [26]
Ver también
- Transacción electrónica segura (SET)
- Complemento de comerciante (MPI)
Referencias
- ^ https://www.emvco.com/emv-technologies/3d-secure/
- ^ "Visa USA refuerza la seguridad con Arcot" . ZDnet.
- ^ "ProtectBuy" . discover.com. Archivado desde el original el 22 de agosto de 2019 . Consultado el 22 de agosto de 2019 .
- ^ "SafeKey" . AmericanExpress.com. Archivado desde el original el 7 de agosto de 2011 . Consultado el 11 de agosto de 2010 .
- ^ a b "Los comerciantes no pueden permitir que 'PSD2' y 'SCA' sean iniciales vagas" . PaymentsSource . Consultado el 11 de julio de 2019 .
- ^ "Verificado por Visa y MasterCard SecureCode: o cómo no diseñar la autenticación" (PDF) .
- ^ http://people.sabanciuniv.edu/levi/cs432/xxspring%202008%20fsdfgsd/3D_Secure_Emre_Kaplan.pdf
- ^ "Guía de implementación de Verified by Visa" (PDF) .
- ^ "¿Son los asesinos de conversión de Verified by Visa y MasterCard SecureCode?" . practicalecommerce.com . Consultado el 30 de julio de 2013 . Este estudio de 2010 documentó aumentos en el número de transacciones abandonadas del 10% al 12% para los comerciantes que se unieron recientemente al programa.
- ^ "Antiworm: Verified by Visa (Veriphied Phishing?)" . Antiworm.blogspot.com. 2006-02-02 . Consultado el 11 de agosto de 2010 .
- ^ Muncaster, Phil. "La industria se basa en 3-D Secure - 11 de abril de 2008" . Semana de TI. Archivado desde el original el 7 de octubre de 2008 . Consultado el 11 de agosto de 2010 .
- ^ Brignall, Miles (21 de abril de 2007). "El esquema Verified by Visa confunde a miles de compradores de Internet" . The Guardian . Londres. Archivado desde el original el 6 de mayo de 2010 . Consultado el 23 de abril de 2010 .
- ^ "Verificado por Visa y MasterCard SecureCode: o cómo no diseñar la autenticación" (PDF) . Consultado el 11 de agosto de 2010 .
- ^ "¿Securesuite.co.uk es una estafa de phishing?" . Ambrand.com. Archivado desde el original el 16 de junio de 2010 . Consultado el 11 de agosto de 2010 .
- ^ "Verificado por activación de Visa - estafas de phishing de Visa" . MillerSmiles.co.uk. 2006-08-22. Archivado desde el original el 8 de julio de 2010 . Consultado el 11 de agosto de 2010 .
- ^ "Preguntas frecuentes de Verified by Visa" . www.visa.co.uk . Consultado el 6 de octubre de 2016 .
- ^ "Activación durante la compra" (PDF) . Visaeurope.com . Consultado el 11 de agosto de 2010 .
- ^ "Verificado por Visa y MasterCard SecureCode: o cómo no diseñar la autenticación" (PDF) . Consultado el 23 de abril de 2012 .
- ^ "daco.pr.gov" . daco.pr.gov. Archivado desde el original el 12 de agosto de 2014 . Consultado el 17 de julio de 2014 .
- ^ "US2001021725 Sistema y método para verificar un instrumento financiero" . Patentscope.wipo.int. 2002-01-17 . Consultado el 17 de julio de 2014 .
- ^ "AU2011000377 Métodos y sistemas para verificar transacciones" . Patentscope.wipo.int . Consultado el 17 de julio de 2014 .
- ^ "EPCA Payment Summit: iSignthis presenta su servicio de autenticación como alternativa a 3D Secure" . Los Pagadores . Consultado el 17 de julio de 2014 .
- ^ "ACCC publica el proyecto de resolución contra el uso obligatorio de 3D Secure para pagos en línea" .
- ^ "Ayuda de Amazon.in: Acerca de CVV y 3-D Secure" . www.amazon.in . Consultado el 17 de junio de 2020 .
El Banco de la Reserva de la India ha hecho obligatoria la contraseña segura 3-D para garantizar una compra en línea más segura. Esto evitará el uso indebido de una tarjeta perdida / robada, ya que el usuario no podrá continuar a menos que ingrese la contraseña asociada con su tarjeta, creada por usted mismo y que solo usted conoce.
- ^ "Adyen promociona su servicio 3-D Secure 2.0 como el" primero "en el mercado" . Transacciones digitales . Consultado el 11 de julio de 2019 .
- ^ Dios, Olivier. "Stripe: 3D Secure 2 - Guía para la autenticación 3DS2" . Raya . Consultado el 11 de julio de 2019 .
enlaces externos
- American Express SafeKey (sitio para consumidores)
- American Express SafeKey (sitio global de socios)
- Verificado por Visa
- Activando Verified by Visa
- Verificado por Visa Partner Network
- Página de inicio de Mastercard SecureCode
- usa.visa.com
- Descubra Global Network ProtectComprar