
3-D Secure [ 1 ] (más conocido como 3D Secure [ 2 ] o 3DS ) [ 3 ] es un protocolo diseñado para ser una capa de seguridad adicional para transacciones en línea con tarjetas de crédito y débito . El nombre hace referencia a los "tres dominios" que interactúan mediante el protocolo: el dominio del comerciante/adquirente, el dominio del emisor y el dominio de interoperabilidad. [ 1 ]
Originalmente desarrollado en otoño de 1999 por Celo Communications AB (adquirida por Gemplus Associates e integrada en Gemplus, Gemalto y ahora Thales Group ) para Visa Inc. en un proyecto llamado "p42" ("p" de salto con pértiga, ya que el proyecto supuso un gran reto, y "42" como respuesta del libro Guía del autoestopista galáctico ). Gemplus desarrolló una nueva versión actualizada entre 2000 y 2001.
En 2001, Arcot Systems (ahora CA Technologies ) y Visa Inc. [ 4 ] , con la intención de mejorar la seguridad de los pagos por Internet, ofrecieron la marca Verified by Visa (posteriormente renombrada como Visa Secure ). Mastercard también adoptó servicios basados en el protocolo como SecureCode (posteriormente renombrado como Identity Check ), Discover como ProtectBuy , [ 5 ] JCB International como J/Secure y American Express como American Express SafeKey . [ 6 ] Posteriormente, EMVCo produjo revisiones del protocolo bajo el nombre EMV 3-D Secure . La versión 2 del protocolo se publicó en 2016 con el objetivo de cumplir con los nuevos requisitos de autenticación de la UE y resolver algunas de las deficiencias del protocolo original. [ 7 ]
El análisis de la primera versión del protocolo por parte de la comunidad académica ha demostrado que presenta numerosos problemas de seguridad que afectan al consumidor, incluyendo una mayor superficie de ataque por phishing y un cambio en la responsabilidad en caso de pagos fraudulentos. [ 8 ]
Descripción y aspectos básicos
El concepto básico del protocolo consiste en vincular el proceso de autorización financiera con la autenticación en línea. Esta autenticación de seguridad adicional se basa en un modelo de tres dominios (de ahí las siglas "3-D" en el nombre). Los tres dominios son:
- Dominio del adquirente (el banco y el comercio al que se le paga el dinero),
- Dominio del emisor (el emisor de la tarjeta),
- Dominio de interoperabilidad (la infraestructura proporcionada por el sistema de tarjetas, ya sean de crédito, débito, prepago u otros tipos de tarjetas de pago, para admitir el protocolo 3-D Secure). Incluye Internet, el complemento para comercios, el servidor de control de acceso y otros proveedores de software.
El protocolo utiliza mensajes XML enviados a través de conexiones SSL con autenticación del cliente [ 9 ] (esto garantiza la autenticidad de ambos pares, el servidor y el cliente, mediante certificados digitales).
Una transacción realizada con Verified by Visa o SecureCode iniciará una redirección al sitio web del emisor de la tarjeta para autorizarla. Cada emisor puede usar cualquier método de autenticación (el protocolo no lo contempla), pero normalmente se introduce una contraseña vinculada a la tarjeta al realizar compras en línea. El protocolo Verified by Visa recomienda que la página de verificación del emisor se cargue en una sesión de marco en línea . De esta forma, los sistemas del emisor pueden ser considerados responsables de la mayoría de las brechas de seguridad. Hoy en día es fácil enviar una contraseña de un solo uso como parte de un mensaje de texto SMS a los teléfonos móviles y correos electrónicos de los usuarios para la autenticación, al menos durante el registro y en caso de olvido de contraseña.
La principal diferencia entre las implementaciones de Visa y Mastercard radica en el método para generar el UCAF (Campo de Autenticación Universal del Titular de la Tarjeta): Mastercard utiliza AAV (Valor de Autenticación del Titular de la Cuenta) y Visa utiliza CAVV (Valor de Verificación de Autenticación del Titular de la Tarjeta).

proveedores de ACS
En el protocolo 3-D Secure, el servidor de control de acceso (ACS) se encuentra en el lado del emisor de la tarjeta. Actualmente, la mayoría de los emisores de tarjetas subcontratan el ACS a un tercero. Por lo general, el navegador web del comprador muestra el nombre de dominio del proveedor del ACS, en lugar del del emisor de la tarjeta; sin embargo, esto no es un requisito del protocolo. Dependiendo del proveedor del ACS, es posible especificar un nombre de dominio propiedad del emisor de la tarjeta para que lo utilice el ACS.
proveedores de MPI
Cada transacción de 3-D Secure versión 1 implica dos pares de solicitud/respuesta de Internet: VEReq/VERes y PAReq/PARes. [ 9 ] Visa y Mastercard no permiten que los comercios envíen solicitudes directamente a sus servidores. En su lugar, los comercios deben utilizar proveedores de MPI ( complemento para comercios ).
comerciantes
La ventaja para los comerciantes es la reducción de las devoluciones de cargo por "transacciones no autorizadas" . Una desventaja es que deben adquirir un complemento para comerciantes (MPI) para conectarse al servidor de directorio de Visa o Mastercard. Esto es costoso (tarifa de configuración, tarifa mensual y tarifa por transacción); al mismo tiempo, representa ingresos adicionales para los proveedores de MPI. La compatibilidad con 3-D Secure es compleja y, en ocasiones, genera fallos en las transacciones. Quizás la mayor desventaja para los comerciantes sea que muchos usuarios consideran el paso de autenticación adicional como una molestia o un obstáculo, lo que resulta en un aumento sustancial del abandono de transacciones y la pérdida de ingresos. [ 10 ]
Compradores y titulares de tarjetas de crédito
En la mayoría de las implementaciones actuales de 3-D Secure, el emisor de la tarjeta o su proveedor de ACS solicita al comprador una contraseña que solo conocen el emisor de la tarjeta o el proveedor de ACS y el comprador. Dado que el comercio desconoce esta contraseña y no es responsable de capturarla, el emisor de la tarjeta puede usarla como prueba de que el comprador es efectivamente el titular de la tarjeta. Esto tiene como objetivo ayudar a disminuir el riesgo de dos maneras:
- Copiar los datos de la tarjeta, ya sea anotando los números que aparecen en la propia tarjeta o mediante terminales o cajeros automáticos modificados, no permite realizar compras por Internet debido a la contraseña adicional, que no está almacenada ni escrita en la tarjeta.
- Dado que el comerciante no captura la contraseña, se reduce el riesgo de incidentes de seguridad en los comercios en línea; si bien un incidente aún podría resultar en que los piratas informáticos obtengan otros datos de la tarjeta, no hay forma de que obtengan la contraseña asociada.
3-D Secure no requiere estrictamente el uso de autenticación por contraseña. Se dice que es posible [ 11 ] usarlo junto con lectores de tarjetas inteligentes , tokens de seguridad y similares. Este tipo de dispositivos podría brindar una mejor experiencia de usuario a los clientes, ya que los libera de la necesidad de usar una contraseña segura. Algunos emisores ahora utilizan estos dispositivos como parte del Programa de Autenticación por Chip o los esquemas de Autenticación por Código Dinámico. [ 12 ]
Una desventaja importante es que es probable que los titulares de tarjetas vean que su navegador se conecta a nombres de dominio desconocidos como resultado de las implementaciones MPI de los proveedores y el uso de implementaciones ACS subcontratadas por los emisores de tarjetas, lo que podría facilitar la realización de ataques de phishing contra los titulares de tarjetas.
Crítica general
Verificabilidad de la identidad del sitio
El sistema consiste en una ventana emergente o un marco integrado que aparece durante el proceso de transacción en línea, solicitando al titular de la tarjeta que introduzca una contraseña que, si la transacción es legítima, su emisor de tarjeta podrá autenticar. El problema para el titular de la tarjeta radica en determinar si la ventana emergente o el marco provienen realmente de su emisor de tarjeta, ya que podrían ser de un sitio web fraudulento que intenta robar sus datos. Dichas ventanas emergentes o marcos basados en scripts carecen de acceso a ningún certificado de seguridad, lo que imposibilita la confirmación de la implementación de 3-D Secure.
El sistema Verified by Visa ha recibido algunas críticas, [ 13 ] [ 14 ] [ 15 ] [ 8 ] ya que a los usuarios les resulta difícil diferenciar entre la ventana emergente o el marco integrado legítimo de Verified by Visa y un sitio de phishing fraudulento. Esto se debe a que la ventana emergente se sirve desde un dominio que es:
- No es el sitio donde el usuario está comprando.
- No es el emisor de la tarjeta
- Ni visa.com ni mastercard.com
En algunos casos, el sistema Verified by Visa ha sido confundido por los usuarios con una estafa de phishing [ 16 ] y se ha convertido en blanco de algunas estafas de phishing. [ 17 ] La recomendación más reciente de usar un marco en línea ( iframe ) en lugar de una ventana emergente ha reducido la confusión del usuario, a costa de dificultar, si no imposibilitar, que el usuario verifique que la página es genuina. A partir de 2022Los navegadores web no ofrecen una forma de verificar el certificado de seguridad del contenido de un iframe. Sin embargo, algunas de estas preocupaciones sobre la validez del sitio para Verified by Visa se mitigan, ya que su implementación actual del proceso de registro requiere ingresar un mensaje personal que se muestra en ventanas emergentes posteriores de Verified by Visa para brindar al usuario cierta seguridad de que las ventanas emergentes son auténticas. [ 18 ]
Algunos emisores de tarjetas también utilizan la activación durante la compra (ADS, por sus siglas en inglés) [ 19 ] , en la que a los titulares de tarjetas que no están registrados en el sistema se les ofrece la oportunidad de registrarse (o se les obliga a hacerlo) durante el proceso de compra. Esto normalmente los lleva a un formulario en el que se espera que confirmen su identidad respondiendo preguntas de seguridad que deberían conocer su emisor de la tarjeta. Nuevamente, esto se hace dentro de un iframe donde no pueden verificar fácilmente el sitio al que están proporcionando esta información; un sitio web pirateado o un comerciante ilegítimo podría de esta manera recopilar todos los datos que necesita para hacerse pasar por el cliente.
Implementation of 3-D Secure sign-up will often not allow a user to proceed with a purchase until they have agreed to sign up to 3-D Secure and its terms and conditions, not offering any alternative way of navigating away from the page than closing it, thus abandoning the transaction.
Cardholders who are unwilling to take the risk of registering their card during a purchase, with the commerce site controlling the browser to some extent, can in some cases go to their card issuer's website in a separate browser window and register from there. When they return to the commerce site and start over they should see that their card is registered. The presence on the password page of the personal assurance message (PAM) that they chose when registering is their confirmation that the page is coming from the card issuer. This still leaves some possibility of a man-in-the-middle attack if the cardholder cannot verify the TLS/SSL server certificate for the password page. Some commerce sites will devote the full browser page to the authentication rather than using a frame (not necessarily an iframe), which is a less secure object. In this case, the lock icon in the browser should show the identity of either the card issuer or the operator of the verification site. The cardholder can confirm that this is in the same domain that they visited when registering their card if it is not the domain of their card issuer.
Mobile browsers present particular problems for 3-D Secure due to the common lack of certain features such as frames and pop-ups. Even if the merchant has a mobile website, unless the issuer is also mobile-aware, the authentication pages may fail to render properly, or even at all. In the end, many analysts have concluded that the activation-during-shopping (ADS) protocols invite more risk than they remove and furthermore transfer this increased risk to the consumer.
In some cases, 3-D Secure ends up providing little security to the cardholder, and can act as a device to pass liability for fraudulent transactions from the card issuer or retailer to the cardholder. Legal conditions applied to the 3-D Secure service are sometimes worded in a way that makes it difficult for the cardholder to escape liability from fraudulent transactions.[8]
Geographic discrimination
Los emisores de tarjetas y los comercios pueden utilizar los sistemas 3-D Secure de forma desigual con respecto a los emisores que emiten tarjetas en varias ubicaciones geográficas, creando diferencias, por ejemplo, entre las tarjetas emitidas en Estados Unidos y las emitidas fuera de Estados Unidos. Por ejemplo, dado que Visa y Mastercard consideran el territorio no incorporado de Puerto Rico como una ubicación internacional fuera de Estados Unidos, en lugar de una ubicación nacional en Estados Unidos, los titulares de tarjetas allí pueden enfrentar una mayor incidencia de consultas 3-D Secure que los titulares de tarjetas en los cincuenta estados. El Departamento de Asuntos del Consumidor de Puerto Rico ha recibido quejas al respecto en su sitio web sobre discriminación económica por "igualdad de trato". [ 20 ]
3-D Secure como método de autenticación de cliente robusto
La versión 2 de 3-D Secure, que incorpora códigos de acceso de un solo uso, es una forma de autenticación reforzada del cliente basada en software , tal como se define en la Directiva revisada de la UE sobre servicios de pago (PSD2) ; las variantes anteriores utilizaban contraseñas estáticas, que no son suficientes para cumplir con los requisitos de la directiva.
El sistema 3-D Secure requiere la participación activa del emisor para garantizar que el titular registre cualquier tarjeta emitida; por lo tanto, las entidades adquirentes deben aceptar tarjetas no registradas sin realizar una autenticación reforzada del cliente o rechazar dichas transacciones, incluidas las de redes de tarjetas más pequeñas que no cuentan con implementaciones de 3-D Secure.
Los enfoques alternativos realizan la autenticación en el lado del adquirente, sin requerir una inscripción previa con el emisor. Por ejemplo, la "verificación" patentada de PayPal [ 21 ] utiliza una o más transacciones ficticias dirigidas a una tarjeta de crédito, y el titular de la tarjeta debe confirmar el valor de estas transacciones, aunque la autenticación resultante no puede relacionarse directamente con una transacción específica entre el comerciante y el titular de la tarjeta. Un sistema patentado [ 22 ] llamado iSignthis divide el monto acordado de la transacción en dos (o más) cantidades aleatorias, y el titular de la tarjeta luego demuestra que es el propietario de la cuenta confirmando los montos en su extracto. [ 23 ]
La ACCC bloquea la propuesta de 3-D Secure.
Una propuesta para hacer obligatorio el sistema 3-D Secure en Australia fue bloqueada por la Comisión Australiana de Competencia y Consumo (ACCC) tras recibir numerosas objeciones y alegaciones de fallos. [ 24 ] En septiembre de 2025, la ACCC autorizó la migración al sistema mejorado. [ 25 ]
India
Algunos países, como India, no solo utilizan CVV2, sino que también exigen 3-D Secure, un código SMS enviado por el emisor de la tarjeta que se introduce en el navegador al hacer clic en "comprar" y redirigir al usuario al sitio web del sistema de pago o del emisor de la tarjeta. Solo entonces se acepta la operación. No obstante, Amazon aún puede realizar transacciones desde otros países con 3-D Secure activado. [ 26 ]
3-D Secure 2.0

En octubre de 2016, EMVCo publicó la especificación para 3-D Secure 2.0; está diseñada para ser menos intrusiva que la primera versión de la especificación, permitiendo que se envíen más datos contextuales al emisor de la tarjeta del cliente (incluidas direcciones postales e historial de transacciones) para verificar y evaluar el riesgo de la transacción. El cliente solo tendría que superar un desafío de autenticación si su transacción se considera de alto riesgo. Además, el flujo de trabajo para la autenticación está diseñado para que ya no requiera redirecciones a una página separada, y también puede activar la autenticación fuera de banda a través de la aplicación móvil de una institución (que, a su vez, también puede usarse con autenticación biométrica ). 3-D Secure 2.0 cumple con los mandatos de la UE de " autenticación fuerte del cliente ". [ 7 ] [ 27 ] [ 28 ]
Véase también
Referencias
- 1 2 "EMV® 3-D Secure" . EMVCo . Consultado el 5 de febrero de 2026 .
- ↑ "¿Cómo funciona la autenticación 3D Secure? | Stripe" . stripe.com . Archivado del original el 9 de febrero de 2026. Consultado el 5 de febrero de 2026 .
- ↑ Walgrove, 5 de enero de 2024, Amanda WalgroveAmanda; 5 de enero de 2024; Leído, 3 minutos de 2024. "¿Qué es la autenticación 3D Secure?" . www.paypal.com . Consultado el 5 de febrero de 2026 .
{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace ) - ↑ "Visa USA refuerza la seguridad con Arcot" . ZDnet. Archivado del original el 21 de julio de 2024. Consultado el 5 de julio de 2024 .
- ↑ "ProtectBuy" . discover.com. Archivado del original el 22 de agosto de 2019. Consultado el 22 de agosto de 2019 .
- ↑ "SafeKey" . AmericanExpress.com. Archivado del original el 7 de agosto de 2011. Consultado el 11 de agosto de 2010 .
- 1 2 "Los comerciantes no pueden permitir que 'PSD2' y 'SCA' sean iniciales vagas" . PaymentsSource . 12 de junio de 2019. Archivado del original el 16 de enero de 2021. Recuperado el 11 de julio de 2019 .
- 1 2 3 Murdoch, Steven J.; Anderson, Ross (25–28 de enero de 2010). Sion, R. (ed.). Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication (PDF) . Criptografía financiera y seguridad de datos FC2010. Vol. 6052. Tenerife: Springer. pp. 336–342 . doi : 10.1007/978-3-642-14577-3_27 . ISBN 978-3-642-14992-4. Archivado (PDF) del original el 05-05-2012 . Recuperado el 23-04-2012 .
- 1 2 "Guía de implementación de Verified by Visa" (PDF) . Archivado (PDF) del original el 11/07/2017 . Recuperado el 28/02/2017 .
- ↑ "¿Son Verified by Visa y MasterCard SecureCode un factor que frena las conversiones?" . practicalecommerce.com. 14 de junio de 2013 . Consultado el 30 de julio de 2013 .Este estudio de 2010 documentó aumentos en el número de transacciones abandonadas de entre el 10% y el 12% para los comerciantes que se unieron recientemente al programa.
- ↑ "Autenticación de tarjetas y 3D Secure" . stripe.com . Archivado del original el 5 de agosto de 2021. Consultado el 25 de agosto de 2021 .
- ↑ "¿Qué es 3D Secure? Ventajas para el comercio electrónico" . MONEI . Archivado del original el 25/08/2021 . Consultado el 25/08/2021 .
- ↑ "Antiworm: Verified by Visa (¿Pishing verificado?)" . Antiworm.blogspot.com. 2 de febrero de 2006. Archivado del original el 6 de mayo de 2006. Consultado el 11 de agosto de 2010 .
- ↑ Muncaster, Phil. "La industria critica duramente a 3-D Secure - 11 de abril de 2008" . IT Week. Archivado del original el 7 de octubre de 2008. Consultado el 11 de agosto de 2010 .
- ↑ Brignall, Miles (21 de abril de 2007). "El sistema Verified by Visa confunde a miles de compradores en internet" . The Guardian . Londres. Archivado del original el 6 de mayo de 2010. Consultado el 23 de abril de 2010 .
- ↑ "¿Es securesuite.co.uk una estafa de phishing?" . Ambrand.com. Archivado del original el 16 de junio de 2010. Consultado el 11 de agosto de 2010 .
- ↑ "Activación de Verified By Visa: Estafas de phishing de Visa" . MillerSmiles.co.uk. 22 de agosto de 2006. Archivado del original el 8 de julio de 2010. Consultado el 11 de agosto de 2010 .
- ↑ "Preguntas frecuentes sobre Verified by Visa" . www.visa.co.uk. Archivado del original el 9 de octubre de 2016. Consultado el 6 de octubre de 2016 .
- ↑ "Activación durante la compra" (PDF) . Visa Europe. Archivado (PDF) del original el 9 de mayo de 2008. Consultado el 11 de agosto de 2010 .
- ↑ "daco.pr.gov" . daco.pr.gov. Archivado del original el 12 de agosto de 2014. Consultado el 17 de julio de 2014 .
- ↑ "US2001021725 Sistema y método para verificar un instrumento financiero" . Patentscope.wipo.int. 17 de enero de 2002. Archivado del original el 2 de noviembre de 2013. Consultado el 17 de julio de 2014 .
- ↑ "AU2011000377 Métodos y sistemas para verificar transacciones" . Patentscope.wipo.int. Archivado del original el 6 de noviembre de 2013. Consultado el 17 de julio de 2014 .
- ↑ "EPCA Payment Summit: iSignthis presenta su servicio de autenticación como una alternativa a 3D Secure" . The Paypers. Archivado del original el 1 de noviembre de 2013. Consultado el 17 de julio de 2014 .
- ↑ "ACCC publica un borrador de resolución en contra del uso obligatorio de 3D Secure para pagos en línea" . Archivado del original el 12 de agosto de 2016. Consultado el 17 de junio de 2016 .
- ↑ "ACCC autoriza la coordinación del sector para migrar el sistema de pagos con tarjeta a un estándar de cifrado más seguro" . 25 de septiembre de 2025. Archivado del original el 31 de diciembre de 2025. Consultado el 16 de enero de 2026 .
- ↑ "Ayuda de Amazon.in: Acerca del CVV y 3-D Secure" . www.amazon.in . Archivado del original el 24/06/2021 . Consultado el 17/06/2020 .
El Banco de la Reserva de la India ha hecho obligatoria la contraseña 3-D Secure para garantizar compras en línea más seguras. Esto evitará el uso indebido de una tarjeta perdida o robada, ya que el usuario no podrá continuar a menos que ingrese la contraseña asociada a su tarjeta, creada por él mismo y conocida solo por él.
- ↑ "Adyen promociona su servicio 3-D Secure 2.0 como el "primero" en el mercado" . Transacciones digitales . Archivado del original el 23 de enero de 2021. Consultado el 11 de julio de 2019 .
- ↑ Godement, Olivier. "Stripe: 3D Secure 2 - Guía para la autenticación 3DS2" . Stripe . Archivado del original el 29 de octubre de 2020. Consultado el 11 de julio de 2019 .
Enlaces externos
- EMV 3-D Secure
- American Express SafeKey (sitio web para consumidores)
- American Express SafeKey (sitio web asociado global)
- Visa Secure (Estados Unidos)
- Verificación de identidad de Mastercard
- Descubre la red global ProtectBuy
- EMV
- Estándares basados en XML para la industria financiera