Las pérdidas globales por fraude online en pagos se dirigen hacia los 91.000 millones de dólares en 2028. Noventa y un mil millones. Cuando presenté esa cifra en una ponencia el año pasado, vi a profesionales del sector que llevaban décadas trabajando con tarjetas quedarse en silencio. No porque la cifra les sorprendiera por novedosa, sino porque confirma una tendencia que no se frena: cuanto más crece el comercio electrónico, más crece el fraude. Y el sector de apuestas online, donde cada transacción implica dinero real moviéndose a velocidad inmediata, es un objetivo especialmente atractivo para los cibercriminales.

Susana Rubio, VP de Productos y Soluciones de Mastercard en la península ibérica, lo ilustró con una comparación que se me quedó grabada: el coste del cibercrimen, medido como PIB, sería la tercera economía del mundo, con más de 12 billones de dólares. Solo por detrás de Estados Unidos y China. Esa escala obliga a que las redes de pago inviertan cantidades enormes en tecnología defensiva, y Mastercard es de las que más ha apostado en ese terreno.

Esta guía no va de repetir que «Mastercard es segura» — eso lo dice cualquiera. Lo que voy a hacer es abrir las capas de protección una por una: 3D Secure 2.0, tokenización, Decision Intelligence Pro, y los estándares de cumplimiento PCI DSS y SDP. Quiero que entiendas qué ocurre exactamente cuando tus datos de tarjeta viajan desde tu pantalla hasta la cuenta del operador, y qué mecanismos están trabajando en segundo plano para que ese viaje no te cueste un disgusto.

3D Secure 2.0: cómo funciona la autenticación en apuestas online

Recuerdo la época en que 3D Secure significaba una ventana emergente con un formulario que parecía diseñado en 1998, donde tenías que teclear una contraseña estática que habías olvidado hacía meses. La experiencia era tan mala que muchos comercios preferían no activarlo y asumir el riesgo de fraude antes que perder clientes en el proceso de pago. La versión 2.0 cambió las reglas por completo.

3D Secure 2.0 — que Mastercard comercializa como Mastercard Identity Check — funciona de forma radicalmente distinta a su predecesor. En lugar de interrumpir al usuario con un formulario externo, la autenticación se integra en el flujo de pago del operador y se ejecuta mediante canales que el usuario ya tiene configurados: notificación push en la app del banco, biometría (huella dactilar o reconocimiento facial), o un código de un solo uso enviado por SMS.

El cambio técnico de fondo es que 3D Secure 2.0 comparte hasta 150 puntos de datos entre el comerciante (el operador de apuestas), la red Mastercard y el banco emisor durante la autenticación. Estos puntos incluyen el dispositivo desde el que se realiza la operación, la dirección IP, el historial de transacciones previas con ese comerciante, la geolocalización y la hora de la operación. Con toda esa información, el sistema calcula en tiempo real el nivel de riesgo de la transacción.

Si el riesgo es bajo — por ejemplo, estás depositando desde el mismo móvil que usas siempre, en el mismo operador, un importe similar al habitual —, la autenticación puede ejecutarse de forma «silenciosa» (frictionless), sin que tengas que hacer nada adicional. El depósito se aprueba sin intervención del usuario. Si el riesgo es alto — dispositivo desconocido, importe inusual, IP de un país diferente —, el sistema activa lo que se llama un «challenge»: te pide verificación explícita mediante biometría o código OTP.

Para los operadores de apuestas en España, 3D Secure es obligatorio. La directiva europea PSD2 (Payment Services Directive 2) exige la autenticación reforzada del cliente (SCA — Strong Customer Authentication) en los pagos electrónicos, y 3D Secure 2.0 es el mecanismo estándar para cumplirla en pagos con tarjeta. Esto significa que cualquier depósito que realices con Mastercard en un operador regulado pasará por este protocolo, te des cuenta o no.

Hay un matiz que afecta al usuario de apuestas: las exenciones. Bajo ciertas condiciones, las transacciones pueden quedar exentas de SCA. Las más relevantes en este contexto son las transacciones de bajo valor (menos de 30 euros), siempre que no se acumulen más de 5 transacciones exentas consecutivas o 100 euros en total sin autenticación. Algunos operadores configuran sus pasarelas para solicitar la exención en depósitos pequeños y recurrentes, acelerando el proceso. Pero la decisión final de aceptar o no la exención la toma el banco emisor, no el operador.

Lo que 3D Secure 2.0 consigue en la práctica es un equilibrio que antes no existía: mayor seguridad sin destruir la experiencia de usuario. La tasa de abandonos en el proceso de pago se ha reducido significativamente respecto a la versión anterior del protocolo, y al mismo tiempo la protección contra el fraude por suplantación ha mejorado de forma medible. Para ti como apostador, el efecto tangible es que tus depósitos son más seguros sin que el proceso sea más lento ni más engorroso.

Tokenización de Mastercard: qué es y por qué importa al apostador

Voy a explicar la tokenización con una analogía que uso siempre en charlas con no técnicos. Imagina que cada vez que pagas en un comercio, en lugar de dar tu dirección real, le das una dirección ficticia que solo el servicio de correos sabe traducir a tu dirección real. Si alguien roba esa dirección ficticia, no puede hacer nada con ella — no lleva a ningún sitio. Eso es exactamente lo que hace la tokenización con los datos de tu tarjeta.

Cuando depositas con Mastercard en un operador de apuestas que tiene tokenización habilitada, el número real de tu tarjeta (el PAN — Primary Account Number) se sustituye por un token: un código alfanumérico que no tiene valor fuera de esa relación específica entre tu tarjeta y ese comerciante. El operador almacena el token, no tus datos reales. Si alguien hackea la base de datos del operador y roba esos tokens, no puede usarlos para comprar en otro sitio, no puede clonar tu tarjeta, no puede hacer nada.

En abril de 2025, casi la mitad de las transacciones sin tarjeta física (card-not-present) de Mastercard en Europa ya estaban tokenizadas. Es un salto enorme respecto a hace dos años, y la tendencia es clara: Mastercard ha fijado el objetivo de que el 100% de los pagos de comercio electrónico en Europa estén tokenizados en 2030. Valerie Nowak, VP Ejecutiva de Producto e Innovación de Mastercard Europa, lo explicó con claridad: la tokenización está ganando impulso en todo el ecosistema porque la conveniencia y las tasas reducidas de fraude se venden solas.

Para el apostador, la tokenización tiene un beneficio adicional que va más allá de la seguridad: la continuidad. Cuando tu banco te reemite la tarjeta — porque caducó, porque te la robaron, o porque el banco decidió renovar los plásticos —, el token puede actualizarse automáticamente sin que tú tengas que volver a introducir los datos en el operador. Esto funciona a través de un servicio de Mastercard llamado Automatic Billing Updater, y aunque no todos los operadores lo tienen integrado, los que sí lo ofrecen te ahorran el engorro de actualizar la tarjeta manualmente cada vez que el banco te envía una nueva.

Matías Sánchez, Director Global de Tarjetas y Soluciones Digitales en Banco Santander, lo resumió así: con la tokenización, los datos de las tarjetas están mejor protegidos, y eso hace que el proceso de pago sea más fácil, rápido y seguro. Es una de esas raras situaciones en las que la seguridad y la comodidad van en la misma dirección en lugar de ser opuestas.

Si quieres profundizar en el mecanismo técnico paso a paso de cómo funciona la tokenización en cada transacción, he escrito un análisis más detallado sobre Click to Pay y la tokenización en apuestas que cubre ese aspecto con mayor granularidad.

Un dato que me parece relevante: los comercios que adoptan tokenización reportan tasas de fraude significativamente más bajas y tasas de aprobación de transacciones más altas. Esto último importa más de lo que parece — si tus depósitos se aprueban con más frecuencia y con menos fricciones, tu experiencia como usuario mejora sin que hayas hecho nada diferente. La protección trabaja en silencio.

Decision Intelligence Pro: inteligencia artificial contra el fraude

La inteligencia artificial lleva años siendo una palabra de moda, pero hay implementaciones donde realmente marca una diferencia cuantificable. Decision Intelligence Pro de Mastercard es una de ellas, y me atrevería a decir que es el componente menos visible y más potente de todo el arsenal de seguridad de la red.

El sistema funciona así: cada vez que se procesa una transacción con Mastercard, Decision Intelligence Pro analiza 1 billón de puntos de datos en menos de 50 milisegundos. Un billón. En el tiempo que tardas en parpadear, el sistema ha evaluado el patrón de gasto del titular, la reputación del comerciante, la geolocalización, el dispositivo, la hora, la frecuencia de operaciones recientes, y centenares de variables más. El resultado es una puntuación de riesgo que ayuda al banco emisor a decidir si aprobar o declinar la transacción.

Lo que hace especial a este sistema no es la cantidad de datos — otros actores del mercado también manejan volúmenes grandes — sino la visibilidad de red. Mastercard procesa transacciones de miles de millones de tarjetas en millones de comercios a nivel global. Esa escala le permite detectar patrones que un banco individual, por grande que sea, no podría identificar. Si un patrón de fraude aparece en Japón a las 8 de la mañana, Decision Intelligence puede incorporar ese patrón a su modelo y aplicarlo en tiempo real a transacciones en España esa misma tarde.

En el contexto de las apuestas online, esta tecnología actúa en dos direcciones. Por un lado, bloquea transacciones fraudulentas — alguien intentando usar datos de tarjeta robados para depositar en un operador. Por otro lado, y esto es igual de importante, reduce los falsos positivos: depósitos legítimos que el banco rechazaría por exceso de cautela si no tuviera la capa de inteligencia adicional que aporta la red. Para el usuario habitual de apuestas, la consecuencia práctica es que sus depósitos legítimos se aprueban con más frecuencia y los usos fraudulentos de su tarjeta se detectan con mayor eficacia.

La magnitud del problema que intenta resolver es abrumadora. La ciberdelincuencia genera costes que superan los 12 billones de dólares globales, y las proyecciones apuntan a que alcanzará los 15 billones en 2029. Frente a esa realidad, la inversión de Mastercard en inteligencia artificial aplicada a la detección de fraude no es un lujo ni una estrategia de marketing — es una necesidad competitiva. Las redes de pago que no consigan mantener el fraude bajo control perderán la confianza de comerciantes y usuarios, y en el sector de apuestas, donde la confianza es la base de la relación entre operador y jugador, esa pérdida sería fatal.

Cómo proteger los datos de tu tarjeta al apostar online

En 2024, 269 millones de registros de datos de tarjetas fueron publicados en la dark web y en foros de la internet abierta. Doscientos sesenta y nueve millones. Ese dato, procedente de Recorded Future — que ahora es una división de Mastercard —, debería ser suficiente para que cualquier persona que use su tarjeta online se tome en serio la protección de sus datos. Y si usas tu Mastercard para apostar, la atención debe ser doble, porque cada depósito es una transacción que implica la transmisión de información sensible.

La buena noticia es que la mayoría de las medidas de protección efectivas son sencillas y no requieren conocimientos técnicos. La primera y más obvia: no guardes los datos de tu tarjeta en dispositivos compartidos. Si usas un ordenador que también usan otras personas, no permitas que el navegador almacene los números de la tarjeta. Usa la opción de no recordar datos cuando el navegador te lo pregunte.

La segunda medida es activar las notificaciones instantáneas de tu banco para cada operación con tarjeta. Cada vez que se realice un cargo o una autorización, recibirás un aviso en tu móvil. Si ves un cargo que no reconoces, puedes actuar en cuestión de minutos — bloquear la tarjeta, contactar con el banco, disputar la transacción — en lugar de descubrirlo días después al revisar el extracto.

Tercera medida: utiliza una tarjeta dedicada para apuestas, si tu economía te lo permite. Puede ser una tarjeta prepago Mastercard o una tarjeta de débito asociada a una cuenta con saldo limitado. De esta forma, si los datos de esa tarjeta se ven comprometidos, la exposición financiera está acotada al saldo de esa cuenta, no al total de tus ahorros.

Cuarta medida: verifica siempre que estás en la web o la app oficial del operador antes de introducir los datos de tu tarjeta. El phishing — páginas que imitan la apariencia de un operador legítimo para capturar datos de tarjeta — es una técnica habitual. Comprueba la URL, busca el certificado SSL (el candado en la barra del navegador) y, si tienes dudas, accede al operador escribiendo la dirección directamente, no a través de enlaces en emails o mensajes.

Quinta medida, y esta la considero la más infravalorada: mantén actualizado el sistema operativo de tu móvil y de tu ordenador. Las actualizaciones de seguridad parchean vulnerabilidades que los cibercriminales explotan para interceptar datos de pago. Un dispositivo desactualizado es una puerta abierta, por muchas capas de seguridad que tenga Mastercard en su red.

Y una recomendación final: si alguna vez detectas un cargo no autorizado en tu Mastercard vinculado a una casa de apuestas, contacta con tu banco emisor inmediatamente y solicita un chargeback (devolución de cargo). Mastercard tiene un protocolo específico de disputas que protege al titular de la tarjeta, y el plazo para iniciar una disputa es generalmente de 120 días desde la fecha de la transacción. No esperes, no dudes, no asumas que se resolverá solo.

PCI DSS y el programa SDP de Mastercard: estándares que debe cumplir tu operador

Hasta ahora he hablado de las capas de seguridad que protegen la transacción en tránsito. Pero hay una pregunta igualmente importante: ¿qué pasa con tus datos una vez que llegan al operador? ¿Cómo los almacena? ¿Quién tiene acceso? ¿Qué estándares tiene que cumplir? Ahí es donde entran PCI DSS y el programa SDP de Mastercard.

PCI DSS — Payment Card Industry Data Security Standard — es un conjunto de requisitos de seguridad que debe cumplir cualquier entidad que procese, almacene o transmita datos de tarjetas de pago. No es una recomendación: es una obligación contractual. Si un operador de apuestas quiere aceptar pagos con Mastercard, tiene que demostrar que cumple con PCI DSS. Sin certificación, sin Mastercard.

Los requisitos de PCI DSS cubren seis categorías principales: construir y mantener una red segura, proteger los datos del titular de la tarjeta, mantener un programa de gestión de vulnerabilidades, implementar controles de acceso estrictos, monitorizar y testear las redes regularmente, y mantener una política de seguridad de la información. En la versión 4.0 del estándar, vigente desde 2024, se han reforzado los requisitos de autenticación multifactor y la protección contra ataques de phishing y malware.

El programa SDP (Site Data Protection) de Mastercard va un paso más allá. Es el mecanismo mediante el cual Mastercard verifica y exige el cumplimiento de PCI DSS a todos los participantes de su red. Los operadores de apuestas que aceptan Mastercard están sujetos a auditorías periódicas, y los resultados se reportan a Mastercard. Si un operador no supera la auditoría, se enfrenta a multas, restricciones en el procesamiento de transacciones, y en casos graves, la desconexión de la red.

Para ti como usuario, la implicación práctica es que cualquier operador con licencia DGOJ que acepte Mastercard ha pasado por un proceso de certificación PCI DSS y está sujeto al programa SDP. Tus datos de tarjeta — si el operador los almacena, que cada vez es menos frecuente gracias a la tokenización — están bajo un régimen de protección auditado externamente, no basado en la buena voluntad del operador.

Un matiz técnico que vale la pena conocer: muchos operadores no almacenan directamente los datos de tarjeta en sus propios servidores. En su lugar, delegan esa función en la pasarela de pago (un tercero certificado PCI DSS de nivel 1, el más exigente). Esta arquitectura reduce la superficie de ataque: si el operador sufre una brecha de seguridad, los datos de tarjeta no están en su infraestructura. Es una práctica que considero esencial y que afortunadamente se ha convertido en el estándar de la industria.

¿Qué hago si detecto un cargo no autorizado de una casa de apuestas en mi Mastercard?
Contacta inmediatamente con tu banco emisor y solicita el bloqueo de la tarjeta y un chargeback (devolución de cargo). Mastercard ofrece un protocolo de disputas con un plazo general de 120 días desde la fecha de la transacción. Paralelamente, informa al operador de apuestas y, si sospechas de un uso fraudulento de tus datos, presenta una denuncia ante las autoridades competentes.
¿La tokenización de Mastercard funciona en todas las casas de apuestas españolas?
No necesariamente. La tokenización depende de la pasarela de pago que utilice cada operador. Las pasarelas modernas como Adyen, Checkout.com o Worldpay soportan tokenización de forma nativa, pero operadores con integraciones más antiguas pueden no tenerla habilitada. Como usuario, puedes verificar si tu tarjeta se tokeniza observando si el operador te pide los datos completos en cada depósito o solo el CVV tras la primera vez.
¿Es más seguro apostar con Mastercard que con un monedero electrónico?
Ambos métodos ofrecen niveles de seguridad elevados, pero con enfoques diferentes. Mastercard protege la transacción mediante 3D Secure 2.0, tokenización y Decision Intelligence. Los monederos electrónicos añaden una capa de separación entre tu tarjeta y el operador, ya que el operador nunca ve tus datos bancarios. En la práctica, usar un monedero electrónico vinculado a tu Mastercard combina las protecciones de ambos, lo que puede considerarse la opción más robusta.