Se registra la tarjeta bancaria en Amazon, se valida un pedido y el pago se realiza sin necesidad de volver a ingresar el código de seguridad ni de confirmar nada en la aplicación de su banco. La primera vez, sorprende.
En la mayoría de los sitios de comercio electrónico, el proceso obliga a ingresar los tres dígitos en la parte posterior de la tarjeta, y luego validar a través de un código SMS o una notificación bancaria. Amazon elude estas dos etapas visibles, lo que genera preguntas legítimas sobre la seguridad de la transacción.
También recomendado : Optimización y eficiencia: el seguimiento de flotas revoluciona la gestión de vehículos
Por qué Amazon no solicita el código de seguridad en cada compra
Cuando se añade una tarjeta a la cuenta de Amazon, el código de seguridad (CVV o CVC) se solicita solo una vez, al momento del registro. A partir de ahí, Amazon se basa en otros elementos para verificar la legitimidad del pago: dirección de facturación, coherencia de los datos de la tarjeta e historial de la cuenta.
En concreto, el sistema no almacena el código de seguridad (las normas PCI DSS lo prohíben), pero no lo necesita para las compras siguientes. Amazon transmite al banco emisor un conjunto de datos suficiente para que este autorice la transacción sin exigir nuevamente el CVV.
Lectura recomendada : ¿Por qué comprar bienes raíces nuevos en Córcega?
Este funcionamiento se encuentra en otros actores que tokenizan la tarjeta: el número real es reemplazado por un token único, y es este token el que circula en cada pago. Para entender mejor la ausencia de 3D Secure en Amazon, hay que observar el reparto de responsabilidades entre el comerciante y el banco, no solo desde el lado de la interfaz de usuario.
Autenticación fuerte y 3D Secure: lo que ocurre en segundo plano
La directiva europea DSP2 impone una autenticación fuerte para los pagos en línea. En la práctica, esto se realiza a través del protocolo 3D Secure, que activa una verificación adicional (notificación en la aplicación bancaria, código SMS, biometría).
Aun así, Amazon parece eludir esta etapa. En realidad, la ausencia de 3D Secure visible no significa la ausencia de autenticación. Varios mecanismos pueden explicar que un pago se realice sin intervención del cliente:
- El banco emisor puede otorgar una exención si considera que el riesgo es bajo, basándose en su propio motor de análisis (monto modesto, historial de la tarjeta, comportamiento habitual del titular).
- El comerciante puede solicitar una exención en virtud del análisis de riesgo transaccional (TRA), siempre que su tasa de fraude se mantenga por debajo de un umbral regulatorio.
- Algunas tarjetas no están inscritas en el sistema 3D Secure, lo que significa que la verificación no se puede activar técnicamente, incluso si el comerciante la configura como obligatoria.
La documentación técnica de IXOPAY confirma este punto: un pago configurado como “mandatory” en 3DS puede aún pasar como no autenticado si la tarjeta no está inscrita. El 3D Secure no es un interruptor binario.
Tasa de fraude de Amazon: por qué el banco acepta el riesgo
Para que un comerciante obtenga regularmente exenciones a la autenticación fuerte, su tasa de fraude debe permanecer muy baja. Amazon invierte masivamente en la detección de comportamientos sospechosos en tiempo real. Cada pedido es analizado por un motor de riesgo que cruza decenas de señales: dispositivo utilizado, dirección IP, historial de compras, dirección de entrega, velocidad de navegación.
Este sistema permite a Amazon asumir la responsabilidad financiera en caso de fraude (el “liability shift” se transfiere al comerciante cuando no hay 3D Secure). Amazon acepta esta transferencia de responsabilidad porque sus algoritmos filtran casi todas las transacciones fraudulentas antes de que se completen.
Para el banco emisor, es un cálculo simple: si Amazon asume la pérdida en caso de fraude y los reportes son raros, no hay razón para bloquear la transacción con una autenticación adicional.
Seguridad de la cuenta del cliente de Amazon: la protección se desplaza
Amazon ha decidido desplazar una parte significativa de la seguridad hacia el acceso a la cuenta misma, en lugar de hacia cada transacción individual. La plataforma ofrece una autenticación de dos factores (2FA) en la cuenta del cliente: contraseña más código temporal a través de una aplicación o un SMS.
Esta elección arquitectónica tiene una lógica práctica. Un defraudador que no tiene acceso a la cuenta de Amazon no puede explotar la tarjeta registrada, incluso si conoce el número y el código de seguridad. La barrera se encuentra antes, no en el momento del pago.
Otros actores adoptan un enfoque similar. Revolut, por ejemplo, ahora ofrece tarjetas bancarias sin número visible impreso en ellas, partiendo de la premisa de que los datos sensibles no deben estar expuestos físicamente. La tendencia general del sector es reducir la superficie de ataque en lugar de multiplicar las etapas de validación del lado del usuario.
Qué hacer si un pago de Amazon se realiza sin verificación bancaria
Un pago validado sin 3D Secure y sin código de seguridad no significa que la transacción sea vulnerable. Las respuestas varían en este punto según los bancos y las configuraciones de la tarjeta, pero en la mayoría de los casos, la combinación del motor de riesgo de Amazon y las exenciones regulatorias cubre la situación.
Algunos reflejos concretos para reforzar la propia seguridad:
- Activar la doble autenticación en su cuenta de Amazon (configuración de la cuenta, sección “Conexión y seguridad”).
- Verificar que las notificaciones de pago estén activadas en el banco, para detectar inmediatamente cualquier transacción no reconocida.
- No registrar su tarjeta en un dispositivo compartido o en una red Wi-Fi pública sin VPN.
- Consultar regularmente el historial de pedidos y los dispositivos conectados a la cuenta.
El modelo de Amazon se basa en un arbitraje calculado: menos fricción en el pago, más control en segundo plano. Mientras la tasa de fraude se mantenga bajo control y la responsabilidad financiera sea asumida por el comerciante, los bancos no tienen interés en imponer sistemáticamente la autenticación fuerte. Este funcionamiento no es ni un olvido ni una falla, es una arquitectura de seguridad que coloca sus bloqueos en otros lugares de lo que se espera.