Realizas un pedido en Amazon, validas el pago, y en ningún momento se te piden los tres números en la parte posterior de tu tarjeta. En la mayoría de los otros sitios de comercio, este código (el criptograma visual, o CVV) es sistemáticamente requerido. Amazon funciona de manera diferente, y esta elección se basa en mecanismos técnicos precisos.
Tokenización de tarjetas bancarias: lo que realmente almacena Amazon
Cuando registras una tarjeta en Amazon, el sitio no conserva tu número de tarjeta tal cual. Utiliza un sistema llamado tokenización EMV, un estándar promovido por las redes de pago internacionales. El principio: tu número real es reemplazado por un token digital único, un “token”, que sirve de referencia para las transacciones futuras.
Lectura recomendada : Optimizar la gestión de su empresa con soluciones en línea: el ejemplo de la plataforma CegidLife
Este token es reutilizable. En cada nueva compra, Amazon transmite este token a la red de pago sin manipular directamente tu número de tarjeta ni tu criptograma. Las redes Visa y Mastercard han implementado programas específicos para los grandes comerciantes elegibles para esta tokenización. Amazon es parte de ello.
Por lo tanto, el criptograma ya no tiene un papel que desempeñar después del primer registro. Se pudo haber solicitado una sola vez, al agregar la tarjeta, para verificar que realmente eras el portador. Luego, el token toma el relevo. Si te preguntas por qué Amazon no solicita el 3D Secure en cada pedido, es este mecanismo el que lo explica en gran parte.
Leer también : El arte de la tarjeta para enviar: un mensaje que marca la diferencia
Autenticación fuerte y DSP2: el papel de tu banco
Quizás hayas notado que Amazon a veces te redirige a la aplicación de tu banco para validar una compra. No es una casualidad. Desde la implementación de la directiva europea DSP2 (segunda directiva sobre servicios de pago), la autenticación fuerte es obligatoria para los pagos en línea en Europa.
La autenticación fuerte se basa en dos factores entre tres categorías posibles:
- Algo que conoces (un código secreto, una contraseña)
- Algo que posees (tu teléfono, una tarjeta física)
- Algo que eres (huella digital, reconocimiento facial)
El criptograma de tres cifras no encaja en ninguna de estas categorías de manera robusta. Es un código estático, impreso en la tarjeta, fácil de copiar. La DSP2 ha llevado a los bancos a desarrollar validaciones más fiables: notificación en la aplicación bancaria, código SMS temporal, biometría.
Es tu banco quien activa esta verificación, no Amazon. El comerciante transmite los datos de la transacción, y el banco emisor decide el nivel de autenticación requerido. Por lo tanto, Amazon puede prescindir del criptograma porque la seguridad se basa en otro eslabón de la cadena.
Exenciones a la autenticación fuerte: por qué algunas compras pasan sin validación
Sin duda has notado que no todas tus compras en Amazon desencadenan una verificación bancaria. Algunos pedidos pasan directamente, sin código SMS ni notificación. La DSP2 prevé exenciones para agilizar el proceso de compra.
Los casos en los que se puede eludir la autenticación fuerte son:
- Las transacciones de bajo monto (por debajo de un umbral definido por el banco)
- Los pagos recurrentes a un mismo comerciante identificado como “de confianza”
- Las transacciones consideradas de bajo riesgo por el análisis del banco o del proveedor de pago
Amazon tiene una tasa de fraude muy baja en sus transacciones. Esta baja tasa de fraude le permite beneficiarse de exenciones más amplias por parte de las redes de pago. Cuando un comerciante demuestra un historial de seguridad sólido, los bancos aceptan validar más transacciones sin autenticación adicional.
El criptograma se vuelve entonces doblemente innecesario: el token reemplaza el número de tarjeta, y la exención DSP2 dispensa de la verificación bancaria clásica.
Seguridad del pago en Amazon sin criptograma: los límites a conocer
Este sistema es globalmente fiable, pero desplaza la responsabilidad. Si alguien accede a tu cuenta de Amazon (contraseña comprometida, sesión abierta en un dispositivo compartido), puede realizar pedidos sin nunca necesitar tu tarjeta física. La protección de tu cuenta de Amazon se convierte en el verdadero candado de seguridad.
Activar la verificación en dos pasos en tu cuenta de Amazon es la medida más efectiva. Sin ella, una contraseña robada es suficiente para realizar pedidos con tus tarjetas registradas, ya que ni el número completo ni el criptograma serán solicitados nuevamente.
Lo que puedes hacer concretamente
Verifica que la autenticación de dos factores esté activa en la configuración de inicio de sesión de tu cuenta. Elimina las tarjetas que ya no utilizas. Consulta regularmente la lista de dispositivos conectados a tu cuenta de Amazon para detectar cualquier sesión desconocida.
El criptograma nunca fue diseñado como una barrera fuerte. Es un código estático, visible por cualquiera que tenga la tarjeta en mano. La tokenización y la autenticación bancaria a través de la DSP2 ofrecen un nivel de protección superior, siempre que el acceso a tu cuenta siga siendo seguro de tu parte.
Amazon ha optado por la fluidez apoyándose en tecnologías de pago que hacen que el criptograma sea obsoleto en el marco de transacciones recurrentes. No es un olvido ni un atajo de seguridad: es una arquitectura donde cada actor (comerciante, red de tarjetas, banco) juega un papel distinto. La seguridad de tu contraseña sigue siendo el único elemento que solo tú puedes garantizar.