Passkeys de Visa: El Servicio de Passkey de Pago de Visa

El sector de los servicios financieros y la industria de los pagos están apostando con todo por las passkeys. Tras el despliegue de passkeys en bancos (p. ej., Revolut), fintechs (p. ej., Finom) o proveedores de pago (p. ej., PayPal), y la introducción del Servicio de Autenticación por Token de Mastercard hace aproximadamente un mes, en abril de 2024, Visa ha presentado ahora su propio servicio de passkeys llamado Servicio de Passkey de Pago de Visa en su Foro anual de Pagos.

Anteriormente, ya hemos discutido las implicaciones de este cambio en el mundo financiero, en particular con respecto a la Autenticación Reforzada de Cliente (SCA), la PSD2 y la vinculación dinámica. Puedes leer los artículos detallados aquí:

• Informe sobre Passkeys en la Banca 2025
• Passkeys Vinculadas al Dispositivo vs. Sincronizadas
• Análisis de los Requisitos de PSD2 y SCA
• Qué Significan los Requisitos de SCA para las Passkeys
• Implicaciones de PSD3 / PSR para las Passkeys
• Passkeys y PSD2: MFA Resistente al Phishing y Compatible con PSD2
• Vinculación Dinámica con Passkeys: Confirmación de Pago Segura (SPC)

En este artículo, examinamos el enfoque de Visa hacia las passkeys y sus implicaciones para el futuro de la seguridad en los pagos, incluyendo innovaciones en las passkeys de pago que están estableciendo nuevos estándares en la industria.

El auge de las passkeys en la industria de los servicios financieros está impulsado en gran medida por las expectativas de los consumidores. Datos recientes de Visa subrayan esta tendencia, revelando que el 62 % de los consumidores ha abandonado una compra en línea debido a problemas de autenticación. Además, la seguridad es una preocupación: el 26 % de los consumidores ha admitido haber compartido su PIN en algún momento, lo que resalta las vulnerabilidades de los métodos de autenticación tradicionales. Lo más alarmante es que las tasas de fraude en pagos en línea son siete veces más altas que en los pagos presenciales, lo que enfatiza aún más la necesidad de métodos de transacción digital más seguros.

La introducción por parte de Visa de su Servicio de Passkey de Pago de Visa marca un paso significativo para abordar estas preocupaciones. Al reemplazar las contraseñas y los códigos de un solo uso con passkeys, las passkeys de Visa agilizan las experiencias de compra en línea, reduciendo la fricción y mejorando la seguridad. Las instituciones financieras, especialmente aquellas que integran una passkey de servicios financieros, están reconociendo que esta tecnología no solo aumenta la confianza del consumidor, sino que también mejora la eficiencia operativa general. Las passkeys no solo son fáciles de usar, sino que también son robustas contra ciberataques como el phishing.

Las passkeys presentan una solución convincente para las instituciones financieras que buscan mejorar la seguridad y, al mismo tiempo, la experiencia del usuario. Esta tecnología se alinea perfectamente con la Directiva de Servicios de Pago 2 (PSD2) de la Unión Europea, que exige la Autenticación Reforzada de Cliente (SCA). La PSD2 requiere que las transacciones se autentiquen utilizando al menos dos de los siguientes elementos: algo que el usuario sabe, tiene o es. Las passkeys cumplen estos criterios al aprovechar datos biométricos (algo que el usuario es) y claves privadas almacenadas de forma segura (algo que el usuario tiene), como las que se encuentran en el secure enclave, el Entorno de Ejecución Confiable (TEE) o el Módulo de Plataforma Confiable (TPM) de un dispositivo.

Visa ha sido un actor importante en la evolución de las passkeys, especialmente a través de su membresía en la FIDO Alliance, a la que se unió en 2014, dos años después que Mastercard.

Uno de los servicios anteriores de Visa, que podría considerarse un predecesor de las passkeys, es la aplicación Visa Biometric Authenticator, un producto restringido con acceso limitado a su documentación y recursos, lamentablemente.

En 2019, Visa realizó un estudio sobre biometría y preferencias de los consumidores, encuestando a 1000 titulares de tarjetas de crédito en Alemania. Los resultados revelaron una fuerte preferencia de los consumidores por la autenticación biométrica sobre las contraseñas tradicionales. Un impresionante 90 % de los encuestados consideró las huellas dactilares un método seguro para la verificación de identidad, en comparación con solo el 77 % para los PIN y el 73 % para las contraseñas. Además, métodos como el escaneo de iris y facial fueron calificados como más seguros que los PIN y las contraseñas. Esto probablemente mostró a Visa que el camino a seguir era impulsar la biometría y, posteriormente, las passkeys.

En el Foro de Pagos 2024, Visa anunció oficialmente el Servicio de Passkey de Pago de Visa. Jack Forestell, Director de Producto y Estrategia de Visa, señaló:

La marca específica como servicio de Passkey de Pago de Visa, reflejada en el enfoque de Mastercard, es significativa. Enmarca deliberadamente la tecnología en el contexto de las transacciones financieras. A diferencia de las passkeys de inicio de sesión generales, la autenticación de pagos requiere el cumplimiento de regulaciones más estrictas, especialmente la SCA de la PSD2, incluido el requisito de vinculación dinámica, que vincula criptográficamente la autenticación a los detalles específicos de la transacción. Esta marca indica que el Servicio de Passkey de Pago de Visa está diseñado no solo para la comodidad, sino para satisfacer estas exigentes necesidades de seguridad y cumplimiento específicas de los pagos.

El Servicio de Passkey de Pago de Visa se integrará primero en la plataforma Click to Pay de Visa, ofreciendo una experiencia de pago fluida y segura a gran escala. Además, este servicio allana el camino para innovaciones como el pago con un solo clic de Visa, reduciendo aún más la necesidad de introducción manual de datos y mejorando la experiencia del consumidor. Visa también planea asociarse con emisores en varios mercados para habilitar Click to Pay y el Servicio de Passkey de Pago de Visa en las nuevas tarjetas Visa. Esta integración reducirá la necesidad de introducir manualmente los detalles de la tarjeta y las contraseñas desde el momento en que llega la tarjeta, simplificando aún más la experiencia del usuario.

El lanzamiento por parte de Visa del Servicio de Passkey de Pago de Visa es un avance significativo para las passkeys en el ámbito de los pagos, ya que Visa es el segundo de los tres grandes emisores de tarjetas de crédito en ofrecer un servicio de passkeys dedicado.

Con el Servicio de Passkey de Pago de Visa, la autenticación tradicional basada en contraseñas puede ser reemplazada por completo. Esperamos (de manera similar al Servicio de Autenticación por Token de Mastercard / Passkeys de Pago de Mastercard) que el Servicio de Passkey de Pago de Visa garantice que una vez que un usuario haya creado una passkey en Visa, esta pueda usarse para autenticar transacciones en el sitio de cualquier comerciante participante sin necesidad de crear nuevas passkeys cada vez que el usuario visita un nuevo sitio de comerciante. Además, esta tecnología admite passkeys de pago que están destinadas a redefinir los procesos de pago digital.

Un elemento estratégico clave del enfoque de Visa es su infraestructura. Visa ha construido y opera su propio servidor FIDO para impulsar el Servicio de Passkey de Pago de Visa. Esto respalda lo que Visa denomina su "modelo federado". En este modelo, Visa asume la responsabilidad de autenticar y verificar las identidades de los clientes directamente utilizando su servidor FIDO. Esto supone una diferencia significativa con respecto a los modelos en los que los comerciantes o emisores podrían necesitar implementar y gestionar partes del proceso de autenticación FIDO por sí mismos. Para los comerciantes, este enfoque federado simplifica drásticamente la integración. Solo necesitan integrarse con el Servicio de Passkey de Pago de Visa una vez. Visa se encarga de la complejidad subyacente de la autenticación FIDO, eliminando la necesidad de que los comerciantes construyan sus propios servidores, gestionen integraciones técnicas complejas o incorporen individualmente a los emisores para fines de autenticación. Esta elección de diseño deliberada reduce la barrera de entrada y tiene como objetivo acelerar la adopción en la extensa red de comerciantes de Visa.

Para los comerciantes, adoptar el Servicio de Passkey de Pago de Visa ofrece varios beneficios clave:

• Reducción de fraudes y contracargos: El proceso de autenticación aprovecha los datos biométricos del usuario, lo que reduce significativamente el riesgo de fraude y contracargos.
• Mínima fricción en el proceso de pago: Un proceso de transacción más fluido se traduce en mayores tasas de aprobación y conversión.

Para los compradores, este servicio proporciona:

• Experiencia de pago fluida: Un proceso de pago optimizado en diversos dispositivos y tiendas de comerciantes.
• Seguridad mejorada: La autenticación multifactor (MFA) resistente al phishing refuerza la defensa contra las estafas con tarjetas de crédito y los ataques de phishing. En algunos casos, el servicio incluso cumple con criterios similares a los de un servicio de autenticación de consumidores de Visa, garantizando la máxima seguridad para las transacciones en línea.

Para los emisores, los beneficios son:

• Reducción de pérdidas por fraude: Menores tasas de fraude en general benefician directamente a los emisores al reducir las pérdidas financieras asociadas con transacciones no autorizadas.
• Menores costos de autenticación: Abandonar los OTP por SMS podría reducir potencialmente los costos operativos asociados con el envío de mensajes y la gestión de esa infraestructura.
• Mejora de la experiencia del cliente: Una experiencia de pago segura y sin fricciones conduce a una mayor satisfacción y lealtad del titular de la tarjeta.
• Soporte de autenticación gestionado por Visa: Los emisores pueden beneficiarse de que Visa gestione la infraestructura y el soporte de autenticación principal, lo que podría reducir su propia carga de mantenimiento.

Escribiremos un análisis técnico más detallado sobre cómo integrar el Servicio de Autenticación por Token de Mastercard en los sistemas existentes una vez que Mastercard publique más información. Para mantenerte al día, suscríbete a nuestro Substack de Passkeys o únete a nuestra Comunidad de Passkeys en Slack para no perderte ninguna novedad.

Hasta entonces, recomendamos echar un vistazo al video de anuncio de Visa que explica el concepto con más detalle.

Es importante distinguir el nuevo Servicio de Passkey de Pago de Visa del ya existente Servicio de Autenticación de Consumidores de Visa (VCAS).

• VCAS es la solución de Servidor de Control de Acceso (ACS) alojado que Visa proporciona a los emisores para respaldar sus programas EMV 3-D Secure.
• VCAS se basa principalmente en la Autenticación Basada en Riesgos (RBA). Analiza extensos datos de transacciones (según se informa, hasta 150 puntos de datos) utilizando motores de puntuación de riesgo patentados para determinar si una transacción es de bajo riesgo (permitiendo un flujo sin fricciones) o de alto riesgo (requiriendo un desafío de autenticación adicional).
• Cuando VCAS requiere un desafío, puede admitir varios métodos, incluidos los OTP (enviados por SMS o correo electrónico) o potencialmente la biometría si el emisor utiliza la aplicación de autenticador biométrico complementaria de Visa.
• El Servicio de Passkey de Pago de Visa, en cambio, es el nuevo servicio dedicado de Visa, construido fundamentalmente sobre la tecnología FIDO / passkey. Aprovecha directamente las capacidades FIDO nativas del dispositivo para la autenticación, utilizando claves criptográficas y biometría local/PIN.

Aunque ambos servicios buscan mejorar la seguridad y reducir la fricción en la autenticación del comercio electrónico, el Servicio de Passkey de Pago de Visa representa un cambio tecnológico hacia estándares sin contraseña, resistentes al phishing y basados en FIDO como método de autenticación principal, en lugar de depender principalmente de la RBA con los OTP como el método de respaldo común para los desafíos.

La adopción de passkeys en el panorama de los proveedores de pago por parte del Servicio de Passkey de Pago de Visa marca otro gran hito para toda la industria. Este enfoque innovador no solo mejora la seguridad de las transacciones a través de la autenticación biométrica, sino que también ofrece una experiencia de usuario fluida y sin fricciones, abordando dos de los aspectos más críticos en la industria de los pagos hoy en día.

Para los comerciantes, integrar las passkeys de Visa significa una reducción significativa del fraude y los contracargos. Para los consumidores, promete un proceso de pago más seguro y optimizado. Se anima a los desarrolladores y gerentes de producto a explorar esta tecnología para mantenerse a la vanguardia de la seguridad en los pagos y la experiencia del usuario.

Queda una pregunta abierta: con Visa (y recientemente Mastercard) adoptando las passkeys, ¿qué está planeando American Express con respecto a las passkeys para alcanzar a Mastercard y Visa?

En Corbado, estamos comprometidos a proporcionar las herramientas y la experiencia necesarias para integrar las passkeys sin esfuerzo, ya sea que estés implementando passkeys de pago en plataformas digitales o explorando soluciones de passkeys para servicios financieros. Mantente atento para más información y análisis detallados sobre cómo las passkeys están dando forma a la autenticación digital.