stringtranslate.com

3-D seguro

3-D Secure es un protocolo diseñado para ser una capa de seguridad adicional para las transacciones en línea con tarjetas de crédito y débito . El nombre hace referencia a los "tres dominios" que interactúan mediante el protocolo: el dominio del comerciante/adquirente, el dominio del emisor y el dominio de interoperabilidad. [1]

Desarrollado originalmente en otoño de 1999 por Celo Communications AB (que fue adquirida por Gemplus Associates e integrada en Gemplus, Gemalto y ahora Thales Group ) para Visa Inc. en un proyecto llamado "p42" ("p" de salto con pértiga , ya que el proyecto era un gran desafío, y "42" como la respuesta del libro Guía del autoestopista galáctico ). Gemplus desarrolló una nueva versión actualizada entre 2000 y 2001.

En 2001 Arcot Systems (ahora CA Technologies ) y Visa Inc. [ 2] con la intención de mejorar la seguridad de los pagos por Internet, y se ofreció a los clientes bajo la marca Verified by Visa (posteriormente rebautizada como Visa Secure ). Los servicios basados ​​en el protocolo también han sido adoptados por Mastercard como SecureCode (posteriormente rebautizada como Identity Check ), por Discover como ProtectBuy , [3] por JCB International como J/Secure y por American Express como American Express SafeKey . [4] EMVCo ha producido revisiones posteriores del protocolo bajo el nombre EMV 3-D Secure . La versión 2 del protocolo se publicó en 2016 con el objetivo de cumplir con los nuevos requisitos de autenticación de la UE y resolver algunas de las deficiencias del protocolo original. [5]

El análisis de la primera versión del protocolo por parte del mundo académico ha demostrado que presenta numerosos problemas de seguridad que afectan al consumidor, entre ellos una mayor superficie para el phishing y un cambio de responsabilidad en caso de pagos fraudulentos. [6]

Descripción y aspectos básicos

El concepto básico del protocolo es vincular el proceso de autorización financiera con la autenticación en línea. Esta autenticación de seguridad adicional se basa en un modelo de tres dominios (de ahí el "3-D" en el nombre). Los tres dominios son:

El protocolo utiliza mensajes XML enviados a través de conexiones SSL con autenticación de cliente [7] (esto asegura la autenticidad de ambos pares, el servidor y el cliente, utilizando certificados digitales).

Una transacción que utilice Verified by Visa o SecureCode iniciará una redirección al sitio web del emisor de la tarjeta para autorizar la transacción. Cada emisor podría utilizar cualquier tipo de método de autenticación (el protocolo no cubre esto), pero por lo general, se ingresa una contraseña vinculada a la tarjeta al realizar compras en línea. El protocolo Verified by Visa recomienda que la página de verificación del emisor de la tarjeta se cargue en una sesión de marco en línea . De esta manera, los sistemas del emisor de la tarjeta pueden ser considerados responsables de la mayoría de las violaciones de seguridad. Hoy en día es fácil enviar una contraseña de un solo uso como parte de un mensaje de texto SMS a los teléfonos móviles y correos electrónicos de los usuarios para la autenticación, al menos durante el registro y en caso de contraseñas olvidadas.

La principal diferencia entre las implementaciones de Visa y Mastercard radica en el método para generar el UCAF (Campo de Autenticación Universal del Titular de la Tarjeta): Mastercard utiliza AAV (Valor de Autenticación del Titular de la Cuenta) y Visa utiliza CAVV (Valor de Verificación de Autenticación del Titular de la Tarjeta). [ aclaración necesaria ]

Flujo seguro 3D

Proveedores de ACS

En el protocolo 3-D Secure, el ACS (servidor de control de acceso) se encuentra en el lado del emisor de la tarjeta. Actualmente, la mayoría de los emisores de tarjetas subcontratan el ACS a un tercero. Normalmente, el navegador web del comprador muestra el nombre de dominio del proveedor del ACS, en lugar del nombre de dominio del emisor de la tarjeta; sin embargo, esto no es requerido por el protocolo. Dependiendo del proveedor del ACS, es posible especificar un nombre de dominio propiedad del emisor de la tarjeta para que lo use el ACS.

Proveedores de MPI

Cada transacción de la versión 1 de 3-D Secure implica dos pares de solicitud/respuesta de Internet: VEReq/VERes y PAReq/PARes. [7] Visa y Mastercard no permiten a los comerciantes enviar solicitudes directamente a sus servidores. En su lugar, los comerciantes deben utilizar proveedores de MPI ( complemento para comerciantes ).

Comerciantes

La ventaja para los comerciantes es la reducción de los contracargos por "transacciones no autorizadas" . Una desventaja para los comerciantes es que tienen que comprar un complemento para comerciantes (MPI) para conectarse al servidor de directorio de Visa o Mastercard. Esto es caro [ aclaración necesaria ] (tarifa de instalación, tarifa mensual y tarifa por transacción); al mismo tiempo, representa ingresos adicionales para los proveedores de MPI. El soporte de 3-D Secure es complicado y, a veces, crea fallas en las transacciones. Quizás la mayor desventaja para los comerciantes es que muchos usuarios ven el paso de autenticación adicional como una molestia o un obstáculo, lo que resulta en un aumento sustancial del abandono de transacciones y la pérdida de ingresos. [8]

Compradores y titulares de tarjetas de crédito

En la mayoría de las implementaciones actuales de 3-D Secure, el emisor de la tarjeta o su proveedor de ACS solicita al comprador una contraseña que sólo conocen el emisor de la tarjeta o el proveedor de ACS y el comprador. Dado que el comerciante no conoce esta contraseña y no es responsable de obtenerla, el emisor de la tarjeta puede utilizarla como prueba de que el comprador es efectivamente el titular de la tarjeta. Esto tiene como objetivo ayudar a reducir el riesgo de dos maneras:

  1. La copia de los datos de la tarjeta, ya sea escribiendo los números en la propia tarjeta o mediante terminales modificados o cajeros automáticos, no permite realizar compras a través de Internet debido a la contraseña adicional, que no está almacenada ni escrita en la tarjeta.
  2. Dado que el comerciante no captura la contraseña, existe un riesgo reducido de incidentes de seguridad en los comerciantes en línea; si bien un incidente puede provocar que los piratas informáticos obtengan otros detalles de la tarjeta, no hay forma de que obtengan la contraseña asociada.

3-D Secure no requiere estrictamente el uso de autenticación mediante contraseña. Se dice que es posible [9] utilizarlo junto con lectores de tarjetas inteligentes , tokens de seguridad y similares. Este tipo de dispositivos pueden proporcionar una mejor experiencia de usuario para los clientes, ya que liberan al comprador de tener que utilizar una contraseña segura. Algunos emisores están utilizando actualmente estos dispositivos como parte del Programa de Autenticación con Chip o esquemas de Autenticación con Código de Acceso Dinámico. [10]

Una desventaja importante es que es probable que los titulares de tarjetas vean que su navegador se conecta a nombres de dominio desconocidos como resultado de las implementaciones de MPI de los proveedores y el uso de implementaciones de ACS subcontratadas por los emisores de tarjetas, lo que podría facilitar la realización de ataques de phishing a los titulares de tarjetas.

Crítica general

Verificabilidad de la identidad del sitio

El sistema incluye una ventana emergente o un marco en línea que aparece durante el proceso de transacción en línea y que requiere que el titular de la tarjeta ingrese una contraseña que, si la transacción es legítima, el emisor de su tarjeta podrá autenticar. El problema para el titular de la tarjeta es determinar si la ventana emergente o el marco provienen realmente del emisor de su tarjeta cuando podrían provenir de un sitio web fraudulento que intenta recopilar los datos del titular de la tarjeta. Estas ventanas emergentes o marcos basados ​​en scripts carecen de acceso a ningún certificado de seguridad, lo que elimina cualquier forma de confirmar las credenciales de la implementación de 3-D Secure.

El sistema Verified by Visa ha recibido algunas críticas, [11] [12] [13] [6] ya que a los usuarios les resulta difícil diferenciar entre la ventana emergente o el marco en línea legítimo de Verified by Visa y un sitio de phishing fraudulento. Esto se debe a que la ventana emergente se muestra desde un dominio que es:

En algunos casos, los usuarios han confundido el sistema Verified by Visa con una estafa de phishing [14] y se ha convertido en el objetivo de algunas estafas de phishing. [15] La nueva recomendación de utilizar un marco en línea ( iframe ) en lugar de una ventana emergente ha reducido la confusión del usuario, a costa de hacer que sea más difícil, si no imposible, para el usuario verificar que la página es genuina en primer lugar. A partir de 2022 , los navegadores web no proporcionan una forma de verificar el certificado de seguridad para el contenido de un iframe. Sin embargo, algunas de estas preocupaciones sobre la validez del sitio para Verified by Visa se mitigan, ya que su implementación actual del proceso de inscripción requiere ingresar un mensaje personal que se muestra en ventanas emergentes posteriores de Verified by Visa para brindar cierta seguridad al usuario de que las ventanas emergentes son genuinas. [16]

Algunos emisores de tarjetas también utilizan el sistema de activación durante la compra (ADS, por sus siglas en inglés) [17], en el que a los titulares de tarjetas que no están registrados en el sistema se les ofrece la oportunidad de registrarse (o se les obliga a hacerlo) durante el proceso de compra. Esto normalmente los llevará a un formulario en el que se espera que confirmen su identidad respondiendo a preguntas de seguridad que el emisor de su tarjeta debería conocer. Nuevamente, esto se hace dentro de un iframe donde no pueden verificar fácilmente el sitio al que están proporcionando esta información: un sitio pirateado o un comerciante ilegítimo podría de esta manera recopilar todos los detalles que necesitan para hacerse pasar por el cliente.

La implementación del registro 3-D Secure a menudo no permitirá que un usuario proceda con una compra hasta que haya aceptado registrarse en 3-D Secure y sus términos y condiciones, y no ofrece ninguna otra forma alternativa de navegar fuera de la página que no sea cerrarla, abandonando así la transacción.

Los titulares de tarjetas que no estén dispuestos a correr el riesgo de registrar su tarjeta durante una compra, con el sitio de comercio controlando el navegador hasta cierto punto, pueden en algunos casos ir al sitio web del emisor de su tarjeta en una ventana separada del navegador y registrarse desde allí. Cuando regresen al sitio de comercio y comiencen de nuevo, deberían ver que su tarjeta está registrada. La presencia en la página de contraseña del mensaje de seguridad personal (PAM) que eligieron al registrarse es su confirmación de que la página proviene del emisor de la tarjeta. Esto aún deja cierta posibilidad de un ataque de intermediario si el titular de la tarjeta no puede verificar el certificado de servidor SSL para la página de contraseña. Algunos sitios de comercio dedicarán la página completa del navegador a la autenticación en lugar de usar un marco (no necesariamente un iframe), que es un objeto menos seguro. En este caso, el icono del candado en el navegador debe mostrar la identidad del emisor de la tarjeta o del operador del sitio de verificación. El titular de la tarjeta puede confirmar que se encuentra en el mismo dominio que visitó al registrar su tarjeta si no es el dominio del emisor de su tarjeta.

Los navegadores móviles presentan problemas particulares para 3-D Secure debido a la falta común de ciertas características como marcos y ventanas emergentes. Incluso si el comerciante tiene un sitio web móvil, a menos que el emisor también esté preparado para dispositivos móviles, las páginas de autenticación pueden no mostrarse correctamente o incluso no mostrarse en absoluto. Al final, muchos analistas [ vagos ] han llegado a la conclusión de que los protocolos de activación durante la compra (ADS) implican más riesgos de los que eliminan y, además, transfieren este mayor riesgo al consumidor.

En algunos casos, el sistema 3-D Secure acaba ofreciendo poca seguridad al titular de la tarjeta y puede actuar como mecanismo para trasladar la responsabilidad por transacciones fraudulentas del emisor o minorista de la tarjeta al titular de la misma. Las condiciones legales que se aplican al servicio 3-D Secure a veces están redactadas de tal manera que al titular de la tarjeta le resulta difícil eludir la responsabilidad por transacciones fraudulentas. [6]

Discriminación geográfica

Los emisores de tarjetas y los comerciantes pueden utilizar los sistemas 3-D Secure de forma desigual en relación con los emisores de tarjetas que emiten tarjetas en varias ubicaciones geográficas, creando una diferenciación, por ejemplo, entre las tarjetas emitidas en Estados Unidos y las emitidas en otros países. Por ejemplo, dado que Visa y Mastercard tratan el territorio estadounidense no incorporado de Puerto Rico como un territorio internacional no estadounidense, en lugar de como un territorio estadounidense, los titulares de tarjetas en ese territorio pueden enfrentarse a una mayor incidencia de consultas sobre 3-D Secure que los titulares de tarjetas en los cincuenta estados. El sitio web de discriminación económica por "trato igualitario" del Departamento de Asuntos del Consumidor de Puerto Rico ha recibido quejas en ese sentido . [18]

3-D Secure como autenticación fuerte del cliente

La versión 2 de 3-D Secure, que incorpora códigos de acceso de un solo uso, es una forma de autenticación fuerte de clientes basada en software según lo define la Directiva revisada de la UE sobre servicios de pago (PSD2) ; las variantes anteriores utilizaban contraseñas estáticas, que no son suficientes para cumplir con los requisitos de la directiva.

3-D Secure depende de que el emisor participe activamente y garantice que cualquier tarjeta emitida sea registrada por el titular de la tarjeta; como tal, los adquirentes deben aceptar tarjetas no registradas sin realizar una autenticación fuerte del cliente o rechazar dichas transacciones, incluidas aquellas de sistemas de tarjetas más pequeños que no tienen implementaciones de 3-D Secure.

Otros enfoques alternativos realizan la autenticación en el lado adquirente, sin requerir la inscripción previa con el emisor. Por ejemplo, la "verificación" patentada de PayPal [19] utiliza una o más transacciones ficticias dirigidas a una tarjeta de crédito, y el titular de la tarjeta debe confirmar el valor de estas transacciones, aunque la autenticación resultante no puede estar directamente relacionada con una transacción específica entre el comerciante y el titular de la tarjeta. Un sistema patentado [20] llamado iSignthis divide el monto de la transacción acordada en dos (o más) montos aleatorios, y el titular de la tarjeta prueba que es el propietario de la cuenta al confirmar los montos en su estado de cuenta. [21]

La ACCC bloquea la propuesta 3-D Secure

La Comisión Australiana de Competencia y Consumo (ACCC) bloqueó una propuesta para hacer obligatorio el 3-D Secure en Australia después de recibir numerosas objeciones y presentaciones relacionadas con fallas. [22]

India

Algunos países como India han hecho uso no sólo del CVV2, sino también del 3-D Secure, un código SMS que envía el emisor de la tarjeta y que se teclea en el navegador cuando eres redirigido al sistema de pago o al sitio del emisor de la tarjeta cuando haces clic en "comprar", donde tecleas ese código y sólo entonces se acepta la operación. No obstante, Amazon todavía puede realizar transacciones desde otros países con el 3-D Secure activado. [23]

3-D Secure 2.0

En octubre de 2016, EMVCo publicó la especificación para 3-D Secure 2.0; está diseñada para ser menos intrusiva que la primera versión de la especificación, permitiendo que se envíen más datos contextuales al emisor de la tarjeta del cliente (incluidas las direcciones de correo y el historial de transacciones) para verificar y evaluar el riesgo de la transacción. El cliente solo tendría que pasar un desafío de autenticación si se determina que su transacción es de alto riesgo. Además, el flujo de trabajo para la autenticación está diseñado para que ya no requiera redireccionamientos a una página separada, y también puede activar la autenticación fuera de banda a través de la aplicación móvil de una institución (que, a su vez, también se puede utilizar con autenticación biométrica ). 3-D Secure 2.0 cumple con los mandatos de " autenticación fuerte de clientes " de la UE. [5] [24] [25]

Véase también

Referencias

  1. ^ "Seguro 3-D".
  2. ^ "Visa USA refuerza la seguridad con Arcot". ZDnet.
  3. ^ "ProtectBuy". discover.com. Archivado desde el original el 2019-08-22 . Consultado el 2019-08-22 .
  4. ^ "SafeKey". AmericanExpress.com. Archivado desde el original el 7 de agosto de 2011. Consultado el 11 de agosto de 2010 .
  5. ^ ab "Los comerciantes no pueden permitir que 'PSD2' y 'SCA' sean iniciales vagas". PaymentsSource . 12 de junio de 2019 . Consultado el 11 de julio de 2019 .
  6. ^ abc Murdoch, Steven J.; Anderson, Ross (25–28 de enero de 2010). Sion, R. (ed.). Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication (PDF) . Criptografía financiera y seguridad de datos FC2010. Vol. 6052. Tenerife: Springer. págs. 336–342. doi :10.1007/978-3-642-14577-3_27. ISBN 978-3-642-14992-4. Recuperado el 23 de abril de 2012 .
  7. ^ ab "Guía de implementación de Verified by Visa" (PDF) .
  8. ^ "¿Son las tarjetas de crédito verificadas por Visa y MasterCard SecureCode un factor decisivo para la conversión?". practicalecommerce.com. 14 de junio de 2013. Consultado el 30 de julio de 2013 .Este estudio de 2010 documentó aumentos en el número de transacciones abandonadas del 10% al 12% para los comerciantes que recién se unieron al programa.
  9. ^ "Autenticación de tarjetas y 3D Secure". stripe.com . Consultado el 25 de agosto de 2021 .
  10. ^ "¿Qué es 3D Secure? Ventajas para el comercio electrónico". MONEI . Consultado el 25 de agosto de 2021 .
  11. ^ "Antiworm: Verificado por Visa (¿Phishing de Veriphied?)". Antiworm.blogspot.com. 2006-02-02 . Consultado el 2010-08-11 .
  12. ^ Muncaster, Phil. "La industria se lanza a por 3-D Secure - 11 de abril de 2008". IT Week. Archivado desde el original el 7 de octubre de 2008. Consultado el 11 de agosto de 2010 .
  13. ^ Brignall, Miles (21 de abril de 2007). "El sistema de verificación de Visa confunde a miles de compradores por Internet". The Guardian . Londres. Archivado desde el original el 6 de mayo de 2010 . Consultado el 23 de abril de 2010 .
  14. ^ "¿Es securesuite.co.uk una estafa de phishing?". Ambrand.com. Archivado desde el original el 16 de junio de 2010. Consultado el 11 de agosto de 2010 .
  15. ^ "Activación de Verified By Visa: estafas de phishing relacionadas con Visa". MillerSmiles.co.uk. 22 de agosto de 2006. Archivado desde el original el 8 de julio de 2010. Consultado el 11 de agosto de 2010 .
  16. ^ "Preguntas frecuentes sobre Verified by Visa" www.visa.co.uk . Consultado el 6 de octubre de 2016 .
  17. ^ "Activación durante la compra" (PDF) . Visa Europe . Consultado el 11 de agosto de 2010 .
  18. ^ "daco.pr.gov". daco.pr.gov. Archivado desde el original el 12 de agosto de 2014. Consultado el 17 de julio de 2014 .
  19. ^ "US2001021725 Sistema y método para verificar un instrumento financiero". Patentscope.wipo.int. 17 de enero de 2002. Consultado el 17 de julio de 2014 .
  20. ^ "AU2011000377 Métodos y sistemas para verificar transacciones". Patentscope.wipo.int . Consultado el 17 de julio de 2014 .
  21. ^ "EPCA Payment Summit: iSignthis presenta su servicio de autenticación como alternativa a 3D Secure". The Paypers. Archivado desde el original el 2013-11-01 . Consultado el 2014-07-17 .
  22. ^ "La ACCC publica un proyecto de determinación contra el uso obligatorio de 3D Secure para pagos en línea".
  23. ^ "Ayuda de Amazon.in: Acerca de CVV y 3-D Secure". www.amazon.in . Archivado desde el original el 24 de junio de 2021 . Consultado el 17 de junio de 2020 . El Banco de la Reserva de la India ha hecho obligatoria la contraseña 3-D Secure para garantizar una compra en línea más segura. Esto evitará el uso indebido de una tarjeta perdida o robada, ya que el usuario no podrá continuar a menos que ingrese la contraseña asociada con su tarjeta, creada por usted y conocida solo por usted.
  24. ^ "Adyen promociona su servicio 3-D Secure 2.0 como el "primero" en el mercado". Transacciones digitales . Consultado el 11 de julio de 2019 .
  25. ^ Godement, Olivier. "Stripe: 3D Secure 2 - Guía para la autenticación 3DS2". Stripe . Consultado el 11 de julio de 2019 .

Enlaces externos