obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

3D Secure

3D Secure (3DS) — protocolo de autenticación de tarjeta

Protocolo de autenticación reforzada para los pagos con tarjeta en internet. La versión actual, 3DS2, permite la biometría, los pagos frictionless y la aplicación de las exenciones de SCA.

Ver también:SCAFlux SCADSP2PSR

Definición

3D Secure (3DS) autentica al titular de una tarjeta durante un pago en línea. Es la pantalla que tu banco activa — biometría, notificación o código — para confirmar que realmente eres tú.

Inventado por Visa en 2001 y adoptado después por Mastercard, Amex, JCB y Discover, el protocolo se rediseñó por completo con 3DS2 (desplegado a partir de 2019) para responder a la autenticación reforzada del cliente (SCA) que impone la DSP2.

3DS1 vs 3DS2: la ruptura en la experiencia de usuario

  • 3DS1 (2001 → 2022, en desuso): OTP por SMS o contraseña estática, en un iframe poco atractivo. Experiencia degradada, entre un 20% y un 30% de abandono en el pago y sin cumplir la SCA.
  • 3DS2 (desde 2019): autenticación nativa en la app del banco, intercambio de más de 150 parámetros de contexto entre comercio y banco y, sobre todo, un frictionless flow que elimina toda interacción en el 50% a 80% de los casos. Conforme con la SCA.

Desde octubre de 2022, 3DS1 está oficialmente en end-of-life en las redes: toda nueva integración pasa por 3DS2.

Frictionless flow vs challenge flow

La verdadera aportación de 3DS2: no todos los pagos activan una SCA visible.

  • Frictionless — el ACS (Access Control Server) del banco valida automáticamente según el contexto: dispositivo conocido, comercio habitual, importe coherente. Pago en menos de 2 segundos, sin interacción.
  • Challenge — el banco exige una SCA explícita (biometría, push, OTP) que el cliente valida de forma activa.

Todo el reto de negocio consiste en maximizar el frictionless sin degradar la seguridad, de ahí la carrera por el scoring de riesgo tanto en el ACS como en el comercio.

Los actores de 3DS

En el protocolo intervienen cinco roles:

  • Cardholder — el titular de la tarjeta, que paga.
  • Merchant — el comercio, que inicia la solicitud a través de su PSP.
  • 3DS Server — componente técnico del lado del comercio/PSP (Adyen, Stripe, Worldline) que orquesta el intercambio.
  • Directory Server (DS) — servidor central de la red (Visa, Mastercard, CB, Amex) que enruta hacia el banco correcto.
  • ACS — del lado del banco emisor, decide si autorizar en frictionless o lanzar un challenge, y dirige la SCA cuando procede.

Exenciones de SCA mediante 3DS2

El RTS-SCA prevé exenciones que el comercio puede solicitar en la solicitud; el banco sigue siendo libre de concederlas:

  • Low value: transacción ≤ 30 € (contador acumulado limitado a 100 € o 5 transacciones sin SCA).
  • TRA (Transaction Risk Analysis): disponible si el PSP presenta una tasa de fraude baja — umbrales decrecientes, <0,13% por debajo de 100 €, <0,06% por debajo de 250 €, <0,01% por debajo de 500 €.
  • Trusted beneficiary: el titular ha añadido el comercio a su lista blanca en la app del banco.
  • Recurring transaction: importe y beneficiario idénticos a una transacción ya autenticada.
  • MIT (Merchant Initiated Transaction): adeudo posterior consentido (suscripción, tarjeta guardada). La primera transacción es SCA, las siguientes pueden prescindir de ella.

Lo que 3DS no hace

  • No cubre las transferencias (PISP): estas dependen de otro flujo de SCA, gestionado directamente por el banco, fuera de la red de tarjetas.
  • No garantiza la ausencia de fraude: un challenge validado bajo phishing sigue siendo válido para el banco — pero entonces el liability shift protege al comercio.
  • No es sistemático: las exenciones se aplican ampliamente y el MIT queda fuera del marco de 3DS.
  • No se impone fuera de Europa: técnicamente es mundial, pero la SCA solo es obligatoria en el EEE. En Estados Unidos, el frictionless es casi sistemático.

El liability shift: el beneficio para el comercio

En cuanto un pago pasa por 3DS2 — challenge o frictionless — la responsabilidad de un fraude se traslada del comercio al banco emisor: ya no se sufren contracargos por ese motivo. Es el principal incentivo económico para usar 3DS, incluso cuando una exención de SCA sería posible.

En el ecosistema PSD2

3DS2 es el brazo ejecutor de la SCA para los pagos con tarjeta, uno de los dos grandes canales de autenticación de la DSP2. El otro agrupa los flujos de SCA propios de las API (redirect, decoupled, embedded) para las transferencias y la agregación.

Ejemplos concretos

  • Frictionless en la práctica: pagas en Decathlon desde tu teléfono habitual, en tu wifi habitual, a las 14 h, por 35 €. El ACS acepta automáticamente, no ves nada y el pago se completa en 1,5 segundos.
  • Challenge en la práctica: mismo comercio, pero desde un dispositivo nuevo, a medianoche, por 450 €. El ACS solicita una SCA: push en la app del banco, biometría, regreso a la página del comercio.
  • PSP que optimizan el frictionless: Adyen, Stripe, Checkout.com, Worldline y Mollie invierten en motores de riesgo propios para maximizar la relación frictionless/challenge sin perder seguridad — un diferenciador clave en el mercado.
  • Caso de comercio electrónico: un gran comercio francés alcanza entre el 70% y el 85% de pagos frictionless con 3DS2, frente a ~30% con 3DS1, con una mejora de conversión de 5 a 15 puntos.
  • Trusted beneficiary: en BNP Mes Comptes o Boursorama, añadir Amazon o Spotify a tus comercios de confianza garantiza el frictionless en los pagos siguientes.
  • Apple Pay / Google Pay: estas wallets utilizan un token (DPAN) que sustituye el número real de la tarjeta, y la SCA se realiza localmente mediante Face ID o Touch ID. Para el banco, se trata como una SCA ya validada — un flujo especialmente fluido.
  • 3DS 2.3: desplegado de forma progresiva (2024-2026), agiliza la out-of-band auth, gestiona mejor los retry y hace las listas blancas más dinámicas.

Fuentes

Volver al glosario