Normativas · WCAG 2.2

SC 3.3.8 Nivel AA WCAG 2.2 Nuevo en 2.2

Autenticación Accesible (Mínimo)

La autenticación no debe exigir al usuario que resuelva una prueba de función cognitiva — recordar, transcribir, identificar objetos — a menos que se ofrezca una alternativa o un mecanismo de asistencia. Las contraseñas, los CAPTCHA de imágenes y los flujos de copiar-el-código-del-correo son los fallos más habituales.

Qué exige este criterio

Para autenticarse, no debe exigirse al usuario que realice una prueba de función cognitiva — recordar una contraseña de memoria, transcribir un código, identificar objetos en imágenes, resolver un puzle — a menos que se cumpla una de las siguientes condiciones:

  • Alternativa: existe otro método de autenticación que no requiere una prueba de función cognitiva.
  • Mecanismo: hay asistencia disponible para ayudar al usuario a completar la prueba (autocompletado del gestor de contraseñas, copiar y pegar desde un correo electrónico de verificación).
  • Reconocimiento de objetos: la prueba solo requiere reconocer objetos, sin necesidad de resolver un puzle (esta excepción es de alcance reducido).
  • Contenido personal: la prueba solo requiere identificar contenido no textual que el propio usuario ha proporcionado (p. ej., su foto de perfil).

La finalidad es hacer posible la autenticación para usuarios con discapacidades cognitivas, deficiencias de memoria, dislexia y afasia, que son sistemáticamente excluidos por los flujos basados en contraseñas y CAPTCHA.

Cómo cumplirlo

  • Permitir gestores de contraseñas: no bloquear el pegado en los campos de contraseña, no desactivar el autocompletado ni eliminar autocomplete="current-password" / autocomplete="new-password". Este único cambio suele ser suficiente para cumplir el criterio de conformidad.
  • Admitir passkeys / WebAuthn: una credencial biométrica o vinculada al dispositivo evita por completo la prueba cognitiva.
  • Admitir OAuth / inicio de sesión social como vía alternativa.
  • Magic links: enviar por correo electrónico un enlace de inicio de sesión de un solo clic en lugar de exigir que se recuerde la contraseña.
  • Códigos por correo electrónico o SMS: garantizar que el copiado y pegado funcione desde el mensaje hasta el campo, y permitir que el sistema lo rellene automáticamente cuando la plataforma lo soporte (p. ej., autocompletado de código SMS en iOS).
  • Evitar los CAPTCHA de imágenes (el «haz clic en todos los semáforos» de reCAPTCHA) a menos que se ofrezca una alternativa no cognitiva.
  • Permitir la visualización de la contraseña: ayuda a los usuarios con dislexia o dificultades motoras a verificar lo que han introducido.

Fallos habituales

  • Formularios de inicio de sesión que bloquean el pegado en el campo de contraseña — este único antipatrón hace que 3.3.8 falle de forma directa para los usuarios que dependen de gestores de contraseñas.
  • autocomplete="off" en los campos de contraseña, que impide el autocompletado del navegador y del gestor de contraseñas.
  • CAPTCHA de cuadrícula de imágenes como único paso de verificación, sin alternativa de audio ni otra opción.
  • Flujos de autenticación multifactor que muestran un código de 6 dígitos en un dispositivo y requieren que el usuario lo memorice y lo escriba en otro sin posibilidad de copiar y pegar.
  • Páginas de inicio de sesión que exigen identificar cuál de nueve imágenes contiene un objeto específico.
  • Flujos de «preguntas de seguridad» que requieren recordar datos personales poco habituales («nombre de tu primera mascota») sin alternativa.
  • Reglas de contraseña que prohíben patrones comunes y también el pegado, forzando la introducción manual de una cadena difícil de memorizar.
  • Códigos de aplicación de autenticación sin puente de autocompletado ni posibilidad de copia, que obligan a transcribir en una ventana de 30 segundos.

Por qué es importante

Este es el nuevo criterio de conformidad estrella de WCAG 2.2 y el que con mayor probabilidad forzará cambios de producto en grandes empresas. Las discapacidades cognitivas afectan a más de 1 de cada 10 adultos, y el modelo de «recuerda esta contraseña» siempre ha fallado a ese colectivo: el criterio formaliza ese fallo como un problema de conformidad.

La vía de cumplimiento más habitual es también la más económica: permitir el pegado, admitir el autocompletado, implementar passkeys y magic links. Muchas páginas de inicio de sesión existentes pueden cumplir 3.3.8 con la eliminación de tres líneas de código antipegado. Las alternativas a los CAPTCHA son el problema más difícil: las soluciones modernas incluyen la puntuación de riesgo basada en el dispositivo (Cloudflare Turnstile, hCaptcha en modo invisible) y el análisis de comportamiento, ambas opciones que evitan la prueba cognitiva para la mayoría de los usuarios.

Cabe esperar que 3.3.8 domine los hallazgos de auditorías de WCAG 2.2 durante los próximos años.