Adyen 3D Secure: Cómo funciona la autenticación 3DS2
3D Secure es la capa de autenticación que se interpone entre un pago con tarjeta y su aprobación. Adyen 3DS es una de las implementaciones más utilizadas de este estándar, integrada en la plataforma de pagos de Adyen y que gestiona miles de millones de transacciones anuales en Europa, Norteamérica y Asia.
La forma en que Adyen gestiona 3D Secure es crucial para cualquier desarrollador que integre pagos con tarjeta y para cualquier comerciante que intente equilibrar la prevención del fraude con la conversión de ventas. Ambas están en conflicto directo: una mayor autenticación implica menos fraude, pero también mayor fricción, y la fricción reduce las ventas. Los datos regionales al respecto, especialmente de Estados Unidos y Brasil, son más preocupantes de lo que la mayoría de los comerciantes esperan.
¿Qué es Adyen 3D Secure?
Cuando alguien paga en línea con una tarjeta Visa, Visa puede exigirle que verifique su identidad. El mecanismo para ello es 3D Secure, un protocolo de autenticación que las redes de tarjetas (Visa lo llama Verified by Visa, Mastercard lo llama SecureCode) desarrollaron específicamente para transacciones sin presencia física de la tarjeta. Adyen 3DS es la forma en que Adyen lo implementa en su plataforma de pagos.
Existen dos versiones. La primera generación —3DS1— redirigía al comprador a la página de autenticación del emisor de la tarjeta, interrumpiendo por completo el proceso de pago. La tasa de conversión disminuyó. Los comerciantes lo odiaban. La mayoría ha abandonado 3DS1 siempre que ha sido posible.
3D Secure 2 lo reemplazó con un enfoque más inteligente. En lugar de redirigir, recopila discretamente datos del dispositivo y del navegador en segundo plano (resolución de pantalla, zona horaria, dirección IP, historial de sesión) y los envía al banco emisor. El sistema de análisis de riesgos del banco recibe más de 150 puntos de datos para evaluar. Con tanta información, a menudo puede aprobar la transacción sin que el comprador se dé cuenta de que 3DS se ha ejecutado.
Los comerciantes de la UE y el EEE no tienen muchas opciones. Las normas de autenticación reforzada del cliente de la PSD2 exigen 3D Secure 2 para pagos con tarjeta superiores a 30 €. Cualquier método de pago que implique una transacción con tarjeta entra dentro de este ámbito de aplicación. Fuera de la UE, se recomienda encarecidamente 3DS2 por la protección que ofrece contra el fraude, pero no es obligatorio por ley.
Cómo funciona la autenticación de Adyen 3DS2
El flujo de 3DS2 consta de tres fases: recopilación de datos, autenticación y autorización. Se completa en segundos si todo funciona correctamente.
- El comprador inicia el pago : introduce los datos de su tarjeta en la página de pago del comercio.
- Adyen recopila datos del dispositivo : un pequeño componente JavaScript (la huella digital de 3DS2) se ejecuta en segundo plano, recopilando señales del navegador y del dispositivo: resolución de pantalla, zona horaria, idioma, tipo de dispositivo, dirección IP.
- Adyen envía una solicitud de autenticación : la huella digital del dispositivo y los datos de la transacción se empaquetan y se envían al emisor de la tarjeta a través de la red de la tarjeta.
- El emisor evalúa la solicitud : el motor de riesgo del emisor analiza los más de 150 puntos de datos comparándolos con el historial de comportamiento del titular de la tarjeta y las señales de fraude.
- El emisor decide: sin fricciones o con desafío : si el riesgo es bajo, el emisor se autentica silenciosamente (sin fricciones); si hay señales de riesgo, el emisor solicita un desafío.
- El proceso de verificación se ejecuta si se activa : el comprador completa una verificación adicional: contraseña de un solo uso, datos biométricos o confirmación mediante la aplicación bancaria.
- Resultado de autenticación recibido : Adyen recibe el resultado de la autenticación (autenticado, no autenticado o intento de autenticación).
- Adyen envía la autorización ; con el resultado de la autenticación adjunto, el pago pasa a la autorización a través de la red de tarjetas.
- Se aplica el cambio de responsabilidad : si la autenticación fue exitosa, la responsabilidad por el contracargo relacionado con el fraude se transfiere del comerciante al banco emisor.
La principal diferencia entre 3DS1 y 3D Secure 2 radica en el paso 2. En 3DS1, el emisor prácticamente no disponía de datos, por lo que los problemas eran frecuentes. En 3D Secure 2, la información más completa sobre el dispositivo permite a los emisores aprobar muchas más transacciones de forma automática, independientemente del método de pago que utilice el comprador, siempre que sea una tarjeta.
Flujo sin fricción frente a flujo con desafío en Adyen
Los resultados de la transacción sin fricciones y la verificación de identidad los determina el emisor, no Adyen ni el comerciante. Dicho esto, la calidad de la recopilación de datos de Adyen influye directamente en la frecuencia con la que los emisores pueden optar por la transacción sin fricciones: mejores datos de identificación de dispositivos implican que menos emisores necesiten recurrir a la verificación de identidad.
| Factor | flujo sin fricción | Flujo de desafío |
|---|---|---|
| Experiencia del comprador | Invisible: sin pasos adicionales | Requiere código OTP, datos biométricos o confirmación mediante la aplicación. |
| Impacto de la conversión | Mínimo: lo mismo que no tener 3DS. | Caída significativa (varía según el mercado) |
| ¿Quién decide? | Motor de riesgo del banco emisor | Motor de riesgo del banco emisor |
| Desencadenar | Las señales de riesgo son bajas, los datos son suficientes. | Señales de riesgo elevadas o datos incompletos |
| Cambio de responsabilidad | Sí, el emisor asume el riesgo de fraude. | Sí, el emisor asume el riesgo de fraude. |
| Participación típica | Entre el 40% y el 93% de las transacciones (dependiendo del mercado) | 7%–60% (dependiendo del mercado) |
Japón demuestra las ventajas de la autenticación sin fricciones: aproximadamente el 60 % de las transacciones 3DS se completan sin problemas, y la tasa de conversión general se mantiene en el 93 %. Brasil presenta el caso opuesto: la gran cantidad de flujos de verificación de seguridad ha provocado una caída del 55 % en la tasa de conversión. En Estados Unidos, el impacto promedio de los flujos de verificación de seguridad es del 43 %, según un estudio de Stripe sobre los patrones de adopción de 3DS.
La protección contra el fraude es consistente independientemente del flujo que se complete. Tanto la autenticación sin fricciones como la autenticación por desafío activan el cambio de responsabilidad. Un contracargo relacionado con el fraude después de una autenticación 3DS exitosa es un problema financiero del emisor, no del comerciante.
Reglas de seguridad 3D dinámicas de Adyen
La mayoría de las implementaciones de 3DS aplican la autenticación de forma universal: en cada transacción, siempre. El motor de reglas Dynamic 3D Secure de Adyen permite a los comercios ser más precisos al respecto.
Dynamic 3DS permite a los comercios configurar un enrutamiento basado en reglas que aplica 3DS de forma selectiva, según señales de riesgo, exenciones y características de la transacción. El objetivo es maximizar la autenticación en transacciones de riesgo, utilizando exenciones para reducir las fricciones en las de bajo riesgo.
Tipos de reglas clave disponibles en la configuración Dynamic 3DS de Adyen:
- Reglas de exención : canalice las transacciones de bajo riesgo a través de las exenciones de SCA (análisis de riesgo de transacción, exenciones de bajo valor inferiores a 30 €, listados de comercios de confianza) para omitir 3DS por completo cuando esté legalmente permitido.
- Gestión de rechazo suave : redirige automáticamente las transacciones que los emisores rechazan sin 3DS, activando la autenticación 3DS en el segundo intento.
- Reglas de velocidad : aplique 3DS en función de la frecuencia de transacciones de una tarjeta o dispositivo determinado dentro de un período de tiempo.
- Umbrales de importe : activan 3DS por encima de un valor de transacción específico, eximiendo a las compras más pequeñas.
- Reglas basadas en el país : se aplica una lógica de autenticación diferente según el país del comprador, teniendo en cuenta los mandatos regionales de SCA y el comportamiento del emisor.
- Reglas de tipo de tarjeta : enrutar las tarjetas corporativas o premium a través de 3DS, mientras que se permite el débito estándar del consumidor a través de flujos de exención.
Los comercios que configuran Dynamic 3DS de forma inteligente pueden reducir significativamente la exposición al flujo de verificación en comparación con la aplicación universal de 3DS, al tiempo que mantienen una protección total contra el fraude en los segmentos de alto riesgo.
Métodos de integración de Adyen 3DS
La forma en que los comercios integran 3DS a través de Adyen depende de su método de integración de pagos. Adyen admite tres enfoques principales:
- Sesiones (recomendado) : la integración preconfigurada de Adyen gestiona 3DS de forma nativa sin necesidad de configuración adicional. El flujo de Sesiones recopila automáticamente las huellas digitales de los dispositivos y gestiona el enrutamiento sin fricciones/con desafío de forma transparente. La opción más sencilla para la mayoría de los comercios.
- Integración sencilla : el componente de interfaz de usuario alojado de Adyen se integra en la página de pago del comercio y gestiona los flujos de 3DS, incluyendo las ventanas emergentes de verificación y el manejo de resultados. Requiere menos configuración que una integración completa de API y ofrece más opciones de personalización que Sessions.
- Integración de API : control total del flujo 3DS. El código del comercio gestiona la recopilación de huellas digitales, las solicitudes de autenticación, el análisis de resultados y el envío de autorizaciones. Requerido para procesos de pago altamente personalizados o aplicaciones móviles nativas que necesiten 3DS2 nativo en su interfaz.
Para la mayoría de los comerciantes de comercio electrónico, Sessions o Drop-in ofrecen el mejor equilibrio entre esfuerzo de integración y cumplimiento con 3DS. La integración mediante API nativa suele ser utilizada por empresas con equipos de ingeniería de pagos especializados.
Un detalle específico de Adyen: la función 3DS2 nativa en aplicaciones móviles requiere los SDK de Adyen para iOS y Android, que incluyen los componentes de toma de huellas digitales y la interfaz de usuario para el desafío. Las integraciones web que utilizan Sessions o Drop-in gestionan esto automáticamente.
Impacto de la conversión 3D Secure: Datos regionales
El titular "3DS perjudica la conversión" es parcialmente cierto, pero el impacto real depende casi por completo de factores específicos del mercado: la familiaridad de los compradores con los procesos de autenticación bancaria y la fluidez de la experiencia de usuario en la banca móvil.
| Mercado | Tasa de desafío | Impacto de la conversión | Notas |
|---|---|---|---|
| Japón | Desafío del ~40% | Caída mínima | La autenticación de la aplicación bancaria es familiar; alta tasa de fricción |
| Reino Unido | Desafío del ~25% | Bajo-moderado | La aplicación bancaria (biométrica) es estándar y ofrece una experiencia rápida. |
| Francia | Desafío del ~50% | Moderado | Las tasas de desafío se duplicaron, pero los usuarios familiarizados con OTP |
| A NOSOTROS | Desafío del ~45% | -43% en transacciones impugnadas | 3DS aún es una novedad; los usuarios no están familiarizados con el flujo de OTP bancario. |
| Brasil | Desafío de ~60%+ | -55% | Altas tasas de impugnación; flujos de autenticación bancaria inconsistentes |
| Promedio mundial | — | Mercado de 1.720 millones de dólares (2026) | Se prevé que alcance los 4.660 millones de dólares en 2034. |
Las cifras de reducción del fraude son más claras: la autenticación 3DS reduce las disputas por fraude hasta en un 80 %, y Europa estima que evita pérdidas anuales por fraude de aproximadamente 900 millones de euros. Estos son ahorros para los comercios. Las devoluciones de cargo son costosas más allá del valor de la transacción: generan gastos operativos, penalizaciones por riesgo y, en algunos casos, riesgos para la relación con el procesador de pagos.
La paradoja de la conversión se resuelve al separar dos factores: si se aplicó 3DS y si el proceso de verificación fue fluido. Los mercados con buenas aplicaciones de banca móvil y compradores experimentados gestionan bien la fricción del proceso de verificación. Los mercados donde los compradores reciben códigos OTP por SMS o utilizan aplicaciones bancarias inconsistentes pierden muchas ventas.
3DS y pagos con criptomonedas
3D Secure se aplica a los pagos con tarjeta y a nada más. Las transacciones con criptomonedas no pasan por las redes de tarjetas, por lo que no hay ningún flujo 3DS que se active.
Esto tiene dos caras. Las pasarelas de pago de criptomonedas no pueden depender de la transferencia de responsabilidad del 3DS, ya que no existe un banco emisor al que transferir el riesgo de fraude. La seguridad depende de otros mecanismos: monitoreo de transacciones, análisis de billeteras y evaluación de riesgos en tiempo real a nivel de la pasarela.
Por otro lado: sin complicaciones con la 3DS. Sin escaneo de huellas digitales en segundo plano, sin verificación por parte del emisor, sin espera de código OTP. El proceso de pago es tan sencillo como escanear la dirección de la billetera o confirmarla en la aplicación. Para los comerciantes que han visto cómo la verificación de transacciones perjudicaba la conversión en EE. UU. o Brasil, esta simplicidad tiene un gran valor.
Para los comerciantes que desean ofrecer criptomonedas como opción de pago junto con las tarjetas tradicionales, Plisio proporciona una pasarela de pago de criptomonedas que gestiona la aceptación de criptomonedas sin añadir la complejidad del cumplimiento de la normativa 3DS a la infraestructura del comerciante.
