Autenticación Reforzada y Comercio Electrónico Seguro con Servired: Protegiendo tus Compras Online

En la era digital actual, el comercio electrónico ha experimentado un crecimiento sin precedentes. Cada vez más personas realizan compras en línea, desde bienes físicos hasta servicios digitales. Sin embargo, este aumento en las transacciones en línea también ha dado lugar a mayores preocupaciones sobre la seguridad de los datos personales y financieros de los usuarios.

La clave de comercio electrónico seguro es un elemento esencial en la protección de las transacciones en línea. Se trata de una contraseña o código secreto que el usuario utiliza para autenticarse y confirmar su identidad durante una transacción en un sitio web de comercio electrónico. Al agregar una capa de autenticación adicional, este sistema ayuda a prevenir el fraude y el robo de identidad, brindando tranquilidad a los usuarios.

La PSD2: Un Marco Revolucionario para la Seguridad en Pagos Online

La normativa PSD2 (formalmente, Directiva (UE) 2015/2366 del Parlamento Europeo y el Consejo) o Segunda Directiva de Servicios de Pago, fue uno de los cambios más revolucionarios en materia de protección del cliente en tiendas online, así como en el impulso a esta modalidad de venta y a la hora de añadir ventajas para las empresas basadas en la forma de tratar los datos.

La meta tras la PSD2 es garantizar unas normas armonizadas a la hora de prestar servicios de pago en Europa, así como proteger a los consumidores e incluso darles poder sobre sus datos bancarizados. Esta normativa obliga a los comercios y emisores de tarjetas a operar bajo la modalidad de comercio seguro en las compras de comercio electrónico (Web, App), lo que implica que en cualquier operación de tarjeta en comercio electrónico debe autentificarse de manera reforzada.

Autenticación Reforzada (SCA): El Nuevo Estándar de Seguridad

La autenticación reforzada (SCA por sus siglas en inglés Strong Customer Authentication) o doble autentificación es un sistema presente en la PSD2 que busca hacer los pagos online más seguros al confirmar la identidad del cliente. La autenticación reforzada trata de asegurar la identidad de quien paga, permitiendo verificar que cuando compres por Internet realmente seas tú quién lo hagas.

Este sistema requiere que cuando realices una compra en un comercio electrónico utilices al menos dos elementos diferentes, conocidos como factores de autenticación. Estos elementos son independientes (la vulneración de uno no compromete la fiabilidad de los demás), de manera que se proteja la confidencialidad de tus datos. Solo cuando hayas proporcionado dos de estas tres formas de autenticación, podrás completar el pago.

Los Tres Factores de Autenticación

Existen tres categorías válidas para la autenticación disponibles y son necesarias dos formas de validación de las tres:

• De Conocimiento: Algo que solo el usuario conoce. Por ejemplo, contraseñas, un PIN, una frase o la respuesta a una pregunta de seguridad (el nombre de tu mascota, tu primer novio, la ciudad en la que naciste y cosas similares).
• De Posesión: Algo que se tiene o posee. Esto puede ser un móvil, una tarjeta de coordenadas, un reloj inteligente o el acceso a otro sistema de confirmación (como un código recibido por SMS).
• De Inherencia: Algo que el usuario es. Incluye la huella digital, el reconocimiento facial, los patrones de voz, la firma de ADN o el iris.

Por ejemplo, María está realizando una compra en un comercio electrónico y ha introducido los datos requeridos de la tarjeta. Aunque no tiene la FirmaMóvil activa, ha recibido un SMS con las instrucciones para finalizar la compra, algo que antes no sucedía. En este caso, el PIN de la tarjeta es 5897 y el número que ha recibido por SMS es el 141720. Esto es correcto y es un ejemplo de autenticación reforzada que combina un elemento de conocimiento (PIN) y uno de posesión (código SMS).

Infografía: Los tres factores de la Autenticación Reforzada (SCA).

El Rol de Servired y la Clave de Comercio Electrónico Seguro (CES)

El sistema de Comercio Electrónico Seguro o CES es un proceso con el que aumentas la seguridad de las tarjetas que usas para comprar online. Su funcionamiento es muy sencillo y crucial para la seguridad de las transacciones en línea. Una vez que el titular de una tarjeta española tiene los productos en su cesta de la compra, selecciona "Tarjeta de crédito" como forma de pago y presiona el botón "finalizar compra", se conecta, "por redirección", al TPV Virtual de Servired para poder realizar el pago.

Esto es para que, aunque tengas una tarjeta, no sea suficiente con la información que hay en ella para realizar un pago online, es decir, se añade más seguridad. El sistema de comercio electrónico seguro hace que debas incluir una contraseña exclusiva para determinadas compras en internet.

Funcionamiento de la Clave CES

Cada vez que realizas una compra online, recibirás por SMS un código de confirmación (elemento de posesión) al que ahora se añadirá la nueva Clave de Comercio Electrónico Seguro (CES) (elemento de conocimiento). Esta nueva clave adicional, que puedes elegir tú mismo, es la novedad del sistema, desarrollada para proporcionar una capa de seguridad adicional.

Por ejemplo, si recibes un código SMS como 4ABC y tu clave CES es 7625, el dato que tendrás que introducir para confirmar la transacción es 4ABC7625. Como solo tú sabes esa clave, la compra será más segura.

Cómo Utilizar la Clave CES y Dispositivos de Confianza

Ya puedes empezar a utilizar tu clave desde la App de tu banco o el “Área Clientes” de la web. Para ver cuál es tu clave asignada solo tienes que dirigirte a la sección “Seguridad y claves”, donde también podrás modificarla si quieres.

Si tienes un Smartphone compatible con identificación por huella dactilar o reconocimiento facial, puedes registrarlo como "dispositivo de confianza" desde la App de tu entidad, y así no tendrás que introducir la clave de CES, ya que la biometría actuará como uno de los factores de autenticación de inherencia.

Esquema: Flujo de pago seguro a través del TPV Virtual de Servired.

Beneficios de la Autenticación Reforzada para Usuarios y Empresas

La implementación de la PSD2 y la autenticación reforzada trae consigo importantes ventajas. Con este sistema, el cliente está mejor protegido frente al fraude, en parte gracias a la autenticación reforzada, pero también a procesos de los que no es consciente. Además, esta normativa solo hace responsable al usuario de los 50 primeros euros no autorizados (antes eran 150 euros).

La PSD2 también ayuda a las empresas, que tienen un mayor control sobre los datos de compra de los clientes. Gracias a la PSD2, las pasarelas de pago se han integrado en los e-commerce de las empresas a través de las API, lo que permite que el cliente abone el importe en sistemas y bancos de su confianza, aumentando la seguridad y la sensación de tranquilidad durante el proceso.

La mayoría de las pasarelas de pago, ofrecidas ya sea por bancos tradicionales como servicios bancarizados de emisores de tarjetas u otras fintech, son quienes se encargan de implementar la normativa PSD2 en sus sistemas. Para la mayoría de los negocios, solo se requerirá activar 3DSecure v2.2 (la versión 1.0 se usa desde 2001) y dar los datos SCA a quien lleve el desarrollo web. Sin embargo, esto solo es necesario en el caso de que la pasarela de pago se haya desarrollado ad hoc para la empresa. Si se hace uso de pasarelas con tecnología PayPal, plugins de WordPress como Woocommerce o simplemente pasarelas de pago bancarias, ya llevan implementados los cambios de serie.

Recomendaciones para Compras Online Seguras

Si hay un elemento que deberías cuidar en tus compras online es la seguridad. Además de la autenticación reforzada, es importante seguir una serie de prácticas para proteger tus transacciones.

Seguridad en Pagos con Tarjeta Bancaria

Esta es una de las modalidades de pago más utilizada para comprar a través de internet. Si un importe pagado con tarjeta ha sido cargado de manera fraudulenta, se podrá exigir de manera inmediata la anulación del cargo. Puede tratarse de un sistema seguro si la empresa que opera a través de internet emplea una pasarela de pago que ofrezca el banco que se encargará de verificar la autenticidad de la tarjeta y la protección de datos de la clientela. En este caso, la tienda que opera por internet en ningún momento dispondrá de los datos bancarios de la clientela.

Si no hay disponible una pasarela de pago, la protección de los datos será por parte de la propia empresa online, por lo que si se generan dudas sobre la confianza de la página de internet, será mejor no facilitar datos a la misma. No es recomendable facilitar datos de la tarjeta bancaria en páginas web que no dispongan de certificado de seguridad y que no sean seguras (su dirección no empieza por “https”, ni presentan un candado cerrado asociado a la barra de navegación).

Siempre que sea posible, puede ser una buena idea disponer de una tarjeta específica para las operaciones por internet en la que se vaya incorporando dinero a medida que sea necesario para realizar los pagos online.

Cautela con Servicios de Pago Inmediato

Los pagos inmediatos son servicios que posibilitan la realización de pagos que estarán disponibles para el destinatario en muy poco tiempo, ofreciendo rapidez y comodidad. Sin embargo, a efectos de seguridad en el manejo de las aplicaciones de pago inmediato, tenga en cuenta una serie de recomendaciones:

• Muestre mucha cautela con los correos electrónicos, llamadas telefónicas, SMS o notificaciones recibidas en los terminales móviles. Sea consciente de que una entidad financiera o una aplicación de pago inmediato nunca van a solicitar datos personales ni datos bancarios. No hay que facilitar nunca tales datos.
• Cuidado con los enlaces que vengan acompañando a los correos electrónicos. Si se pincha en ellos, puede redirigir a páginas web fraudulentas que, incluso, pueden ser buenas imitaciones de páginas oficiales.
• Desconfíe totalmente de instituciones aparentemente públicas y oficiales (por ejemplo, hacienda, seguridad social, etc.) que le solicitan aceptar un cobro haciendo uso de alguna aplicación de pago inmediato. Tenga en cuenta que las instituciones públicas nunca realizan pagos a través de aplicaciones de pago inmediato.
• Si se recibe un mensaje de alguna aplicación de pago inmediato, compruebe la persona que se lo ha enviado y verifique de qué se trata realmente: si es un ingreso (va a recibir dinero) o es una solicitud de pago (va a aceptar el pago de algo, es decir, con su autorización va a enviar un dinero a alguien).

Consejos para el Registro en Tiendas Online

Muchas tiendas online obligan al registro si se desea realizar alguna transacción a través de ellas. En este caso, es importante seguir una serie de recomendaciones a la hora de crear tales cuentas:

• Utilice siempre contraseñas que sean seguras: una longitud mínima de 8 caracteres; que combine letras, mayúsculas, minúsculas, números y símbolos; no utilizar palabras sencillas; no elegir contraseñas con sus nombres, nombres de mascota, fechas de nacimiento, etc.; no utilizar contraseñas como 12345678 o 111111; y no utilizar las mismas contraseñas para lugares diferentes.
• Doble Verificación: Si el establecimiento le ofrece la posibilidad de contar con un sistema de doble verificación, es recomendable aceptarla. En este caso, el comercio solicitará un código o clave adicional que, de modo previo, habrá enviado al dispositivo indicado (por ejemplo, un teléfono móvil). La compra no se hará hasta que se introduzca el código enviado.
• No Guardar Datos de Pago: Una vez finalice el proceso de compra, es posible que se hayan memorizado en la página distintos datos personales (incluidos los datos de pago). Si le proponen guardar esos datos para tenerlos disponibles para futuras compras, valore la necesidad de que esto deba ser así. Siempre es más recomendable borrarlos y volverlos a introducir de nuevo.
• Cerrar Sesión: Siempre es recomendable cerrar la sesión de la página cuando finalice la compra.
• Descarga de Aplicaciones: Si va a descargar aplicaciones, tanto gratuitas como de pago, es bueno que el dispositivo electrónico le solicite un código antes de realizar dicha descarga. De este modo, se evitará la instalación o utilización de aplicaciones sin consentimiento de la persona propietaria del dispositivo.

Protege tus datos y dinero siguiendo las recomendaciones de seguridad online.