MercadoPago API — integración para Argentina

Reference docs (leer cuando haga falta)

Credenciales — 3 tipos, no confundirlos

Ubicación en el panel: https://www.mercadopago.com.ar/developers/panel/app → tu app → Credentials (Test / Production).

Importante: los TEST credentials son de la app, pero para probar el pago completo necesitás además un test buyer user (comprador de prueba) distinto del seller. Se crean en: app → Test accounts. Creás 1 Seller + 1 Buyer, ambos del mismo país. Al buyer lo usás en incógnito para pagar.

Variables de entorno (TiendaGo)

MP_ACCESS_TOKEN=TEST-xxxx...         # o APP_USR-xxxx... en prod
MP_WEBHOOK_SECRET=xxxxxxxx           # del dashboard, solo para HMAC
MP_BASE_URL=https://abcd1234.ngrok.app  # en sandbox, tu ngrok
# En prod: MP_BASE_URL=https://ecobiocosmetica.com.ar

Gotcha de sandbox: MP no envía notificaciones a pagos creados con test credentials a menos que hayas configurado el webhook en el panel (no via notification_url de la preference). Si querés testear el HMAC real, configurá la URL en: app → Webhooks → Configure Notifications → Mode: Test.

Endpoints principales (copiables)

Base: https://api.mercadopago.com

POST  /checkout/preferences           # crear preference
GET   /checkout/preferences/{id}      # leer preference
PUT   /checkout/preferences/{id}      # actualizar (algunos campos)
GET   /v1/payments/{id}               # leer pago (usar después del webhook)
GET   /v1/payments/search?...         # buscar (filtros: external_reference, date, status)
POST  /v1/payments/{id}/refunds       # reembolso total o parcial
PUT   /v1/payments/{id}               # cambiar estado (cancel, capture)

Headers en todo:
  Authorization: Bearer ACCESS_TOKEN
  Content-Type: application/json

Payer en AR

{
  "payer": {
    "name": "Juan",
    "surname": "Perez",
    "email": "[email protected]",
    "phone": { "area_code": "11", "number": "22223333" },
    "identification": { "type": "DNI", "number": "12345678" },
    "address": {
      "zip_code": "1414",
      "street_name": "Av. Corrientes",
      "street_number": 1234
    }
  }
}

DNI en test: en Argentina, DNI 12345678 dispara flujos específicos junto con el cardholder APRO / OTHE. Ver test-cards-argentina.md.

Webhook — lo mínimo que hay que hacer bien (sesión 2 de TiendaGo)

1. Validar HMAC del header x-signature — si no matchea, HTTP 401 y cortar.
2. Idempotencia — el mismo data.id puede llegar varias veces (MP reintenta si no respondés 200). Guardar payment_ids procesados; si ya lo procesaste, responder 200 sin hacer nada.
3. Fetch del pago — GET /v1/payments/{id} con tu access token — nunca confíes en el body del webhook, solo en esta respuesta.
4. Responder rápido — return HTTP 200 antes de 22s. Si el procesamiento es pesado, encolar y responder ya.
5. Loguear todo — al menos x-request-id, data.id, status leído. Si el HMAC falla en prod pero anda en test → revisar si leés el body raw (no re-serializado) y si el secret está bien.

Código Go listo para pegar en references/webhooks-hmac.md.

Status del pago — mapeo rápido

Tabla completa (todos los status_detail) en references/payments-api.md.

Retries del webhook

MP reintenta si no contestás 200/201 en ≤22s:

retry 1: 0 min (inmediato)
retry 2: 15 min
retry 3: 30 min
retry 4: 6 h
retry 5: 48 h
retry 6-8: 96 h cada una

8 intentos totales. Implementar idempotencia es obligatorio (no opcional) — si tu sistema se cae entre el paso 3 y el 5 del flujo, MP te va a volver a avisar del mismo pago.

Checklist — pasar a producción

• Activar credenciales productivas en: Your integrations → app → Credentials → Production → Activate
• Industry + Website URL completados (obligatorio para activar)
• HTTPS real (Let's Encrypt en TiendaGo via Caddy) — obligatorio en prod, opcional en test
• Webhook configurado en panel apuntando a https://tudominio.com/webhooks/mp/ipn
• Secret del webhook en env var, probado end-to-end con el botón "Simulate" del panel
• MP_BASE_URL en env apunta al dominio real (no ngrok)
• Primer pago real end-to-end antes de anunciar la tienda abierta
• Logs estructurados del webhook (al menos payment_id + status + timestamp)
• Plan de reconciliación: cron que corre GET /v1/payments/search?external_reference=... para órdenes pending de +1 hora

Integration Quality Score

MP mide la calidad de tu integración. Para subirlo:

• Webhooks respondiendo 200 consistentemente
• External_reference siempre presente
• Statement descriptor configurado (qué aparece en el resumen de la tarjeta del cliente)
• Payer con name + surname + DNI + email + phone

Ver en: Your integrations → app → Integration quality.

Decisión de diseño: HTTP directo vs SDK Go

TiendaGo usa HTTP directo (internal/mp/client.go). Pros y contras vs el SDK oficial (github.com/mercadopago/sdk-go):

HTTP directo (actual):

• • Dependencias mínimas
• • Control total sobre el wire format
• • Fácil de debuggear (copiar/pegar curl)
• − Hay que mantener los structs a mano
• − No auto-actualiza con cambios del API

SDK oficial:

• • Structs generados, IDE completion
• • Maneja retries y rate limiting
• − Una dep más, releases pueden romper compat
• − SDK v1.x enfocado en Orders API nueva (no siempre lo que queremos)

Recomendación para TiendaGo: quedarse con HTTP directo. El surface es chico (3 endpoints: POST preferences, GET payments, POST webhooks). El SDK pesa más de lo que ayuda. Si alguna vez se migra, está todo en references/go-sdk.md.

Links oficiales (verificados 2026-04-18)

• Docs AR: https://www.mercadopago.com.ar/developers/en/docs/checkout-pro/landing
• API Reference: https://www.mercadopago.com.ar/developers/en/reference
• Panel: https://www.mercadopago.com.ar/developers/panel/app
• Status: https://status.mercadopago.com/
• SDK Go: https://github.com/mercadopago/sdk-go
• Discord comunidad: https://discord.com/invite/yth5bMKhdn