stringtranslate.com

3-D seguro

3-D Secure es un protocolo diseñado para ser una capa de seguridad adicional para transacciones con tarjetas de crédito y débito en línea . El nombre se refiere a los "tres dominios" que interactúan mediante el protocolo: el dominio comerciante/adquirente, el dominio emisor y el dominio de interoperabilidad. [1]

Desarrollado originalmente en el otoño de 1999 por Celo Communications AB (que fue adquirida por Gemplus Associates e integrada en Gemplus, Gemalto y ahora Thales Group ) para Visa Inc. en un proyecto denominado "p42" ("p" de salto con pértiga como proyecto fue un gran desafío y "42" como respuesta del libro La guía del autoestopista galáctico ). Gemplus desarrolló una nueva versión actualizada entre 2000 y 2001.

En 2001 Arcot Systems (ahora CA Technologies ) y Visa Inc. [2] con la intención de mejorar la seguridad de los pagos por Internet, y ofrecido a los clientes bajo la marca Verified by Visa (posteriormente rebautizada como Visa Secure ). Los servicios basados ​​en el protocolo también han sido adoptados por Mastercard como SecureCode (posteriormente rebautizado como Identity Check ), por Discover como ProtectBuy , [3] por JCB International como J/Secure y por American Express como American Express SafeKey . [4] EMVCo ha producido revisiones posteriores del protocolo con el nombre EMV 3-D Secure . La versión 2 del protocolo se publicó en 2016 con el objetivo de cumplir con los nuevos requisitos de autenticación de la UE y resolver algunas de las deficiencias del protocolo original. [5]

El análisis de la primera versión del protocolo por parte del mundo académico ha demostrado que tiene muchos problemas de seguridad que afectan al consumidor, incluida una mayor superficie para el phishing y un cambio de responsabilidad en el caso de pagos fraudulentos. [6]

Descripción y aspectos básicos

El concepto básico del protocolo es vincular el proceso de autorización financiera con la autenticación en línea. Esta autenticación de seguridad adicional se basa en un modelo de tres dominios (de ahí el "3-D" en el nombre). Los tres dominios son:

El protocolo utiliza mensajes XML enviados a través de conexiones SSL con autenticación de cliente [7] (esto garantiza la autenticidad de ambos pares, el servidor y el cliente, mediante certificados digitales).

Una transacción que utilice Verified by Visa o SecureCode iniciará una redirección al sitio web del emisor de la tarjeta para autorizar la transacción. Cada emisor puede utilizar cualquier tipo de método de autenticación (el protocolo no lo cubre), pero normalmente se introduce una contraseña vinculada a la tarjeta al realizar compras en línea. El protocolo Verified by Visa recomienda que la página de verificación del emisor de la tarjeta se cargue en una sesión de marco en línea . De esta manera, los sistemas del emisor de la tarjeta pueden ser considerados responsables de la mayoría de las violaciones de seguridad. Hoy en día es fácil enviar una contraseña de un solo uso como parte de un mensaje de texto SMS a los teléfonos móviles y correos electrónicos de los usuarios para su autenticación, al menos durante la inscripción y en caso de contraseñas olvidadas.

La principal diferencia entre las implementaciones de Visa y Mastercard radica en el método para generar el UCAF (Campo de autenticación universal del titular de la tarjeta): Mastercard usa AAV (Valor de autenticación del titular de la cuenta) y Visa usa CAVV (Valor de verificación de autenticación del titular de la tarjeta). [ se necesita aclaración ]

Flujo seguro 3-D

Proveedores de SCA

En el protocolo 3-D Secure, el ACS (servidor de control de acceso) está del lado del emisor de la tarjeta. Actualmente, la mayoría de los emisores de tarjetas subcontratan ACS a un tercero. Normalmente, el navegador web del comprador muestra el nombre de dominio del proveedor de ACS, en lugar del nombre de dominio del emisor de la tarjeta; sin embargo, esto no es requerido por el protocolo. Dependiendo del proveedor de ACS, es posible especificar un nombre de dominio propiedad del emisor de la tarjeta para que lo utilice el ACS.

Proveedores de MPI

Cada transacción 3-D Secure versión 1 implica dos pares de solicitud/respuesta de Internet: VEReq/VERes y PAReq/PARes. [7] Visa y Mastercard no permiten a los comerciantes enviar solicitudes directamente a sus servidores. En su lugar, los comerciantes deben utilizar proveedores MPI ( complemento comercial ).

Comerciantes

La ventaja para los comerciantes es la reducción de las devoluciones de cargos por "transacciones no autorizadas" . Una desventaja para los comerciantes es que tienen que comprar un complemento de comerciante (MPI) para conectarse al servidor de directorio de Visa o Mastercard. Esto es costoso [ se necesita aclaración ] (tarifa de instalación, tarifa mensual y tarifa por transacción); al mismo tiempo, representa ingresos adicionales para los proveedores de MPI. Dar soporte a 3-D Secure es complicado y, en ocasiones, genera errores en las transacciones. Quizás la mayor desventaja para los comerciantes es que muchos usuarios ven el paso de autenticación adicional como una molestia u obstáculo, lo que resulta en un aumento sustancial en el abandono de transacciones y la pérdida de ingresos. [8]

Compradores y titulares de tarjetas de crédito

En la mayoría de las implementaciones actuales de 3-D Secure, el emisor de la tarjeta o su proveedor de ACS solicita al comprador una contraseña que sólo conocen el emisor de la tarjeta o el proveedor de ACS y el comprador. Dado que el comerciante no conoce esta contraseña y no es responsable de capturarla, el emisor de la tarjeta puede utilizarla como prueba de que el comprador es efectivamente el titular de su tarjeta. Esto tiene como objetivo ayudar a disminuir el riesgo de dos maneras:

  1. Copiar los datos de la tarjeta, ya sea anotando los números en la propia tarjeta o mediante terminales modificados o cajeros automáticos, no permite realizar compras a través de Internet debido a la contraseña adicional, que no está almacenada ni escrita en la tarjeta. .
  2. Dado que el comerciante no captura la contraseña, existe un riesgo reducido de incidentes de seguridad en los comerciantes en línea; Si bien un incidente aún puede resultar en que los piratas informáticos obtengan otros detalles de la tarjeta, no hay forma de que obtengan la contraseña asociada.

3-D Secure no requiere estrictamente el uso de autenticación de contraseña. Se dice que es posible [9] usarlo junto con lectores de tarjetas inteligentes , tokens de seguridad y similares. Este tipo de dispositivos pueden proporcionar una mejor experiencia de usuario a los clientes, ya que liberan al comprador de tener que utilizar una contraseña segura. Algunos emisores ahora utilizan dichos dispositivos como parte del Programa de autenticación de chip o esquemas de autenticación de código de acceso dinámico. [10]

Una desventaja significativa es que es probable que los titulares de tarjetas vean que su navegador se conecta a nombres de dominio desconocidos como resultado de las implementaciones de MPI de los proveedores y el uso de implementaciones de ACS subcontratadas por parte de los emisores de tarjetas, lo que podría facilitar la realización de ataques de phishing a los titulares de tarjetas.

Crítica general

Verificabilidad de la identidad del sitio

The system involves a pop-up window or inline frame appearing during the online transaction process, requiring the cardholder to enter a password which, if the transaction is legitimate, their card issuer will be able to authenticate. The problem for the cardholder is determining if the pop-up window or frame is really from their card issuer when it could be from a fraudulent website attempting to harvest the cardholder's details. Such pop-up windows or script-based frames lack any access to any security certificate, eliminating any way to confirm the credentials of the implementation of 3-D Secure.

The Verified by Visa system has drawn some criticism,[11][12][13][6] since it is hard for users to differentiate between the legitimate Verified by Visa pop-up window or inline frame, and a fraudulent phishing site. This is because the pop-up window is served from a domain which is:

In some cases, the Verified by Visa system has been mistaken by users for a phishing scam[14] and has itself become the target of some phishing scams.[15] The newer recommendation to use an inline frame (iframe) instead of a pop-up has reduced user confusion, at the cost of making it harder, if not impossible, for the user to verify that the page is genuine in the first place. As of 2022, web browsers do not provide a way to check the security certificate for the contents of an iframe. Some of these concerns about site validity for Verified by Visa are mitigated, however, as its current implementation of the enrollment process requires entering a personal message which is displayed in later Verified by Visa pop-ups to provide some assurance to the user the pop-ups are genuine.[16]

Some card issuers also use activation-during-shopping (ADS),[17] in which cardholders who are not registered with the scheme are offered the opportunity of signing up (or forced into signing up) during the purchase process. This will typically take them to a form in which they are expected to confirm their identity by answering security questions which should be known to their card issuer. Again, this is done within an iframe where they cannot easily verify the site they are providing this information to—a cracked site or illegitimate merchant could in this way gather all the details they need to pose as the customer.

Implementation of 3-D Secure sign-up will often not allow a user to proceed with a purchase until they have agreed to sign up to 3-D Secure and its terms and conditions, not offering any alternative way of navigating away from the page than closing it, thus abandoning the transaction.

Los titulares de tarjetas que no estén dispuestos a correr el riesgo de registrar su tarjeta durante una compra, con el sitio comercial controlando el navegador hasta cierto punto, pueden en algunos casos ir al sitio web del emisor de su tarjeta en una ventana separada del navegador y registrarse desde allí. Cuando regresen al sitio de comercio y comiencen de nuevo deberían ver que su tarjeta está registrada. La presencia en la página de contraseña del mensaje de seguridad personal (PAM) que eligieron al registrarse es su confirmación de que la página proviene del emisor de la tarjeta. Esto aún deja cierta posibilidad de que se produzca un ataque de intermediario si el titular de la tarjeta no puede verificar el certificado del servidor SSL para la página de contraseña. Algunos sitios comerciales dedicarán toda la página del navegador a la autenticación en lugar de utilizar un marco (no necesariamente un iframe), que es un objeto menos seguro. En este caso, el icono de candado en el navegador debería mostrar la identidad del emisor de la tarjeta o del operador del sitio de verificación. El titular de la tarjeta puede confirmar que se encuentra en el mismo dominio que visitó al registrar su tarjeta si no es el dominio del emisor de su tarjeta.

Los navegadores móviles presentan problemas particulares para 3-D Secure debido a la falta común de ciertas características como marcos y ventanas emergentes. Incluso si el comerciante tiene un sitio web móvil, a menos que el emisor también sea compatible con dispositivos móviles, es posible que las páginas de autenticación no se muestren correctamente, o incluso que no se muestren en absoluto. Al final, muchos analistas [ vagos ] han llegado a la conclusión de que los protocolos de activación durante la compra (ADS) invitan a más riesgos de los que eliminan y, además, transfieren este mayor riesgo al consumidor.

En algunos casos, 3-D Secure termina brindando poca seguridad al titular de la tarjeta y puede actuar como un dispositivo para transferir la responsabilidad por transacciones fraudulentas del emisor o minorista de la tarjeta al titular de la tarjeta. Las condiciones legales aplicadas al servicio 3-D Secure a veces están redactadas de manera que al titular de la tarjeta le resulta difícil eludir la responsabilidad por transacciones fraudulentas. [6]

Discriminación geográfica

Los emisores de tarjetas y los comerciantes pueden utilizar sistemas 3-D Secure de manera desigual con respecto a los emisores de tarjetas que emiten tarjetas en varias ubicaciones geográficas, creando una diferenciación, por ejemplo, entre las tarjetas emitidas en EE. UU. y fuera de EE. UU. Por ejemplo, dado que Visa y Mastercard tratan el territorio estadounidense no incorporado de Puerto Rico como una ubicación internacional fuera de los EE. UU., en lugar de una ubicación nacional de los EE. UU., los titulares de tarjetas allí pueden enfrentar una mayor incidencia de consultas 3-D Secure que los titulares de tarjetas en los cincuenta estados. Quejas en ese sentido han sido recibidas por el sitio de discriminación económica "igualdad de trato" del Departamento de Asuntos del Consumidor de Puerto Rico . [18]

3-D Secure como autenticación sólida del cliente

La versión 2 de 3-D Secure, que incorpora códigos de acceso de un solo uso, es una forma de autenticación segura de clientes basada en software según lo define la Directiva revisada de la UE sobre servicios de pago (PSD2) ; Las variantes anteriores utilizaban contraseñas estáticas, que no son suficientes para cumplir los requisitos de la directiva.

3-D Secure depende de que el emisor participe activamente y garantice que cualquier tarjeta emitida sea registrada por el titular de la tarjeta; como tal, los adquirentes deben aceptar tarjetas no registradas sin realizar una autenticación sólida del cliente o rechazar dichas transacciones, incluidas aquellas de esquemas de tarjetas más pequeños que no tienen implementaciones 3-D Secure.

Los enfoques alternativos realizan la autenticación en el lado adquirente, sin requerir inscripción previa con el emisor. Por ejemplo, la 'verificación' patentada de PayPal [19] utiliza una o más transacciones ficticias dirigidas a una tarjeta de crédito, y el titular de la tarjeta debe confirmar el valor de estas transacciones, aunque la autenticación resultante no puede estar directamente relacionada con una transacción específica entre el comerciante y titular de la tarjeta. Un sistema patentado [20] llamado iSignthis divide el monto de la transacción acordado en dos (o más) montos aleatorios, y luego el titular de la tarjeta demuestra que es el propietario de la cuenta confirmando los montos en su extracto. [21]

ACCC bloquea propuesta 3-D Secure

La Comisión Australiana de Competencia y Consumidores (ACCC) bloqueó una propuesta para hacer obligatorio 3-D Secure en Australia después de que se recibieron numerosas objeciones y presentaciones relacionadas con fallas. [22]

India

Algunos países como India hicieron uso no solo de CVV2, sino también de 3-D Secure obligatorio, un código SMS enviado por el emisor de una tarjeta y escrito en el navegador cuando se le redirige al hacer clic en "comprar" al sistema de pago o al sitio del sistema del emisor de la tarjeta. donde se escribe ese código y solo entonces se acepta la operación. Sin embargo, Amazon aún puede realizar transacciones desde otros países con 3-D Secure activado. [23]

3-D Seguro 2.0

En octubre de 2016, EMVCo publicó la especificación para 3-D Secure 2.0; está diseñado para ser menos intrusivo que la primera versión de la especificación, permitiendo que se envíen más datos contextuales al emisor de la tarjeta del cliente (incluidas direcciones postales e historial de transacciones) para verificar y evaluar el riesgo de la transacción. El cliente solo deberá superar un desafío de autenticación si se determina que su transacción es de alto riesgo. Además, el flujo de trabajo para la autenticación está diseñado para que ya no requiera redireccionamientos a una página separada y también pueda activar la autenticación fuera de banda a través de la aplicación móvil de una institución (que, a su vez, también se puede usar con autenticación biométrica ). . 3-D Secure 2.0 cumple con los mandatos de " autenticación sólida de clientes " de la UE. [5] [24] [25]

Ver también

Referencias

  1. ^ "3-D seguro".
  2. ^ "Visa USA refuerza la seguridad con Arcot". ZDnet.
  3. ^ "ProtegerComprar". descubrir.com. Archivado desde el original el 22 de agosto de 2019 . Consultado el 22 de agosto de 2019 .
  4. ^ "Llave segura". AmericanExpress.com. Archivado desde el original el 7 de agosto de 2011 . Consultado el 11 de agosto de 2010 .
  5. ^ ab "Los comerciantes no pueden permitir que 'PSD2' y 'SCA' sean iniciales vagas". Fuente de pagos . 12 de junio de 2019 . Consultado el 11 de julio de 2019 .
  6. ^ a b C Murdoch, Steven J.; Anderson, Ross (25 a 28 de enero de 2010). Sión, R. (ed.). Verificado por Visa y MasterCard SecureCode: o cómo no diseñar la autenticación (PDF) . Criptografía financiera y seguridad de datos FC2010. vol. 6052. Tenerife: Springer. págs. 336–342. doi :10.1007/978-3-642-14577-3_27. ISBN 978-3-642-14992-4. Consultado el 23 de abril de 2012 .
  7. ^ ab "Guía de implementación verificada por Visa" (PDF) .
  8. ^ "¿Están verificados por los asesinos de conversiones de Visa y MasterCard SecureCode?". prácticoecommerce.com. 14 de junio de 2013 . Consultado el 30 de julio de 2013 .Este estudio de 2010 documentó aumentos en el número de transacciones abandonadas del 10% al 12% para los comerciantes que se unieron recientemente al programa.
  9. ^ "Autenticación de tarjeta y 3D Secure". raya.com . Consultado el 25 de agosto de 2021 .
  10. ^ "¿Qué es 3D Secure? Ventajas para el comercio electrónico". MONEI . Consultado el 25 de agosto de 2021 .
  11. ^ "Antigusano: verificado por Visa (¿phishing verificado?)". Antiworm.blogspot.com. 2006-02-02 . Consultado el 11 de agosto de 2010 .
  12. ^ Muncaster, Phil. "La industria apuesta por 3-D Secure - 11 de abril de 2008". Semana de TI. Archivado desde el original el 7 de octubre de 2008 . Consultado el 11 de agosto de 2010 .
  13. ^ Brignall, millas (21 de abril de 2007). "El esquema Verified by Visa confunde a miles de compradores en Internet". El guardián . Londres. Archivado desde el original el 6 de mayo de 2010 . Consultado el 23 de abril de 2010 .
  14. ^ "¿Es Securesuite.co.uk una estafa de phishing?". Ambrand.com. Archivado desde el original el 16 de junio de 2010 . Consultado el 11 de agosto de 2010 .
  15. ^ "Verificado mediante activación de Visa: estafas de phishing de Visa". MillerSmiles.co.uk. 2006-08-22. Archivado desde el original el 8 de julio de 2010 . Consultado el 11 de agosto de 2010 .
  16. ^ "Preguntas frecuentes sobre verificado por Visa". www.visa.co.uk. ​Consultado el 6 de octubre de 2016 .
  17. ^ "Activación durante las compras" (PDF) . Visa Europa . Consultado el 11 de agosto de 2010 .
  18. ^ "daco.pr.gov". daco.pr.gov. Archivado desde el original el 12 de agosto de 2014 . Consultado el 17 de julio de 2014 .
  19. ^ "US2001021725 Sistema y método para verificar un instrumento financiero". Patentscope.wipo.int. 2002-01-17 . Consultado el 17 de julio de 2014 .
  20. ^ "AU2011000377 Métodos y sistemas de verificación de transacciones". Patentscope.wipo.int . Consultado el 17 de julio de 2014 .
  21. ^ "EPCA Payment Summit: iSignthis presenta su servicio de autenticación como alternativa a 3D Secure". Los pagadores. Archivado desde el original el 1 de noviembre de 2013 . Consultado el 17 de julio de 2014 .
  22. ^ "La ACCC publica un borrador de determinación contra el uso obligatorio de 3D Secure para pagos en línea".
  23. ^ "Ayuda de Amazon.in: acerca de CVV y 3-D Secure". www.amazon.in . Archivado desde el original el 24 de junio de 2021 . Consultado el 17 de junio de 2020 . El Banco de la Reserva de la India ha hecho obligatoria la contraseña segura en 3-D para garantizar compras en línea más seguras. Esto evitará el uso indebido de una tarjeta perdida o robada, ya que el usuario no podrá continuar a menos que ingrese la contraseña asociada con su tarjeta, creada por usted mismo y que solo usted conoce.
  24. ^ "Adyen promociona su servicio 3-D Secure 2.0 como el" primero "en el mercado". Transacciones Digitales . Consultado el 11 de julio de 2019 .
  25. ^ Dios, Olivier. "Stripe: 3D Secure 2 - Guía para la autenticación 3DS2". Raya . Consultado el 11 de julio de 2019 .

enlaces externos