Volver al Blog
meios-de-pagamentocryptogramaemvtokenizaçãofintechadquirencia

Criptograma: lo que realmente valida una transacción con tarjeta

Explico qué es un criptograma en el contexto EMV y wallets digitales, cómo se genera, cómo el emisor lo valida, diferencias entre ARQC y AAV, impacto del ECI y errores comunes de integración que afectan la aprobación y el fraude.

20 de febrero de 20265 min read

En mi día a día trabajando con integraciones de pago, ya he visto este escenario varias veces:

Estamos usando token, entonces es seguro.

Mandamos el wallet indicator, entonces está todo bien.

Y cuando vas a investigar la caída de aprobación o el aumento de fraude… el problema está en el cryptogram.

Mucha gente implementa tokenización, 3DS, wallet, pero no entiende lo que realmente prueba que esa transacción es legítima en la capa de red. Y esa prueba, en la mayoría de los casos, es el cryptogram.

Hoy voy a explicar qué es, cómo funciona tras bambalinas y por qué impacta directamente la aprobación, el riesgo y el chargeback.

¿Qué es un Criptograma?

Un cryptogram es un valor criptográfico generado dinámicamente para una transacción específica.

Funciona como:

  • Prueba de posesión de la credencial
  • Prueba de integridad de la transacción
  • Mecanismo anti-replay

Si alguien intercepta el mensaje e intenta reutilizarlo, no funciona.

¿De dónde viene? (EMV explicado rápido)

El cryptogram nace dentro del estándar EMV (Europay, Mastercard, Visa).

El EMV es el estándar global que define cómo funcionan las tarjetas con chip.

Cuando insertas una tarjeta física en el datáfono:

  1. El terminal envía comandos al chip
  2. El chip responde vía APDU (Application Protocol Data Unit)
  • que es básicamente el formato de mensaje de comunicación con el chip
  1. El chip genera un cryptogram único para esa transacción

Este cryptogram se llama:

  • ARQC (Authorization Request Cryptogram)

El emisor lo valida.

Si es válido → la transacción puede ser autorizada Si no es válido → denegada

¿Y en el e-commerce?

En el e-commerce tradicional (tarjeta digitada), normalmente no hay cryptogram EMV real.

Pero cuando hablamos de:

  • Apple Pay
  • Google Pay
  • Click to Pay
  • Tokenización de bandera

Existe un cryptogram digital.

En este caso:

  • Se genera con base en claves almacenadas en el Secure Element o ambiente seguro
  • Se envía junto con el token (DPAN)
  • La bandera lo valida antes de enviarlo al emisor

Analogía simple

Piensa en la tarjeta como una caja fuerte.

El token es una copia controlada de la llave.

El cryptogram es la firma digital que dice:

Esta llave fue usada ahora, en esta transacción específica, en este valor específico.

Sin esta firma, el sistema no confía totalmente.

Tipos de Cryptogram que vas a encontrar

1. ARQC

Authorization Request Cryptogram Generado para autorización online.

2. TC

Transaction Certificate Generado cuando la transacción es aprobada offline.

3. AAC

Application Authentication Cryptogram Indica rechazo offline.

En el mundo digital, también puedes oír hablar de:

  • AAV (Accountholder Authentication Value)
  • Cryptogram de wallet

No son idénticos al ARQC físico, pero cumplen un papel similar de prueba criptográfica.

Cómo funciona tras bambalinas

Vamos a simplificar el flujo técnico:

  1. Los datos de la transacción son montados:
  • valor
  • moneda
  • fecha
  • terminal id
  1. La tarjeta (o ambiente seguro) usa:
  • una clave simétrica secreta
  • contador de transacción

  1. Aplica un algoritmo criptográfico (generalmente basado en 3DES o AES)

  2. Genera el cryptogram

El emisor posee la clave correspondiente.

Recalcula el cryptogram de su lado.

Si coincide → válido Si no coincide → fraude o error de integración

¿Qué puede salir mal en la práctica?

Aquí entra la parte de la que poca gente habla.

1. Campos inconsistentes

Si alteras:

  • Valor
  • Moneda
  • Indicadores de seguridad

Sin mantener coherencia con lo que fue usado para generar el cryptogram, falla en la validación.

2. ECI incorrecto

El ECI (Electronic Commerce Indicator) indica el nivel de seguridad de la transacción.

Si el ECI no concuerda con el tipo de cryptogram enviado:

  • Puede perder liability shift
  • Puede tener downgrade
  • Puede aumentar el fraude

3. Integración incompleta de wallet

Ya he visto casos:

  • Enviando token
  • Pero ignorando cryptogram
  • O mapeando el campo equivocado en el adquirente

¿Resultado? La transacción se convierte básicamente en una tarjeta digitada común.

Impacto real en el negocio

Un cryptogram bien implementado significa:

  • Mayor tasa de aprobación
  • Menor fraude
  • Liability shift cuando aplicable
  • Menos chargeback

Un cryptogram mal implementado significa:

  • Transacción técnicamente “válida”
  • Pero con riesgo elevado
  • Y potencial perjuicio financiero

Diferencia entre Token y Cryptogram

Siempre lo explico así:

  • El token sustituye el número de la tarjeta
  • El cryptogram prueba que la transacción es legítima

Uno sin el otro es una solución incompleta.

Lo que debes llevarte de esto

Si trabajas con pagos, entiende:

  • El cryptogram no es un detalle técnico.
  • Es la capa criptográfica que sustenta la confianza de la transacción.
  • Un wallet sin cryptogram correcto pierde buena parte del beneficio.
  • Una integración mal mapeada puede destruir la tasa de aprobación.

Antes de discutir sobre fraude o tasa de conversión, siempre debemos revisar:

¿Estamos enviando correctamente el cryptogram y el ECI?

Si nunca has validado esto en tu integración, vale la pena revisarlo ahora.

En el próximo artículo puedo profundizar en:

  • Cómo el emisor valida un ARQC
  • Diferencia práctica entre ARQC y AAV
  • Cómo el ECI influencia el liability shift
  • Errores clásicos de integración que derrumban la aprobación

Porque en medios de pago, seguridad y aprobación van de la mano, y el cryptogram está exactamente en medio de ese camino.