Normativas · WCAG 2.2

SC 3.3.9 Nivel AAA WCAG 2.2 Nuevo en 2.2

Autenticación Accesible (Mejorado)

La autenticación no debe exigir ninguna prueba de función cognitiva, ni siquiera el reconocimiento de objetos ni la identificación de contenido personal. Es la versión AAA de 3.3.8 — las passkeys, la biometría y las credenciales vinculadas al dispositivo se convierten en las vías prácticas. Nuevo en WCAG 2.2.

Qué exige este criterio

Este criterio de conformidad AAA elimina las dos excepciones reducidas permitidas en AA (3.3.8): el reconocimiento de objetos y la identificación de contenido personal también quedan prohibidos. La autenticación no debe requerir ninguna prueba de función cognitiva de ningún tipo, sin excepciones, a menos que haya disponible un método de autenticación alternativo que tampoco requiera una prueba de función cognitiva.

En la práctica, esto significa que en algún punto del flujo existe una opción de autenticación completamente accesible, aunque otras opciones sigan estando disponibles.

Cómo cumplirlo

  • Ofrecer passkeys / WebAuthn como opción de primer nivel: utilizan el desbloqueo biométrico o por PIN del dispositivo, sin necesidad de prueba cognitiva alguna.
  • Ofrecer el inicio de sesión mediante magic link por correo electrónico como alternativa sin prueba cognitiva.
  • Admitir OAuth / inicio de sesión social.
  • Admitir llaves de seguridad de hardware (FIDO2).
  • Garantizar que, independientemente de dónde llegue el usuario, al menos una de estas vías sea accesible sin CAPTCHA ni alternativa basada en la memoria.

Fallos habituales

  • Sitios que cumplen 3.3.8 únicamente permitiendo gestores de contraseñas, sin ofrecer ninguna opción biométrica, de passkey ni de magic link para los usuarios que no utilizan gestores de contraseñas.
  • Autenticación que requiere identificar la propia foto de perfil del usuario (reconocimiento de objetos o contenido personal) — válido para AA, falla AAA.
  • Autenticación reforzada para acciones sensibles que siempre escala a una prueba basada en la memoria.

Por qué es importante

El nivel AAA raramente es un objetivo de cumplimiento, pero en servicios de alta importancia — banca, portales sanitarios, sistemas de identidad gubernamentales — cumplir 3.3.9 es cada vez más la decisión de producto correcta. Las passkeys cuentan hoy con amplio soporte en iOS, Android, Windows y macOS, y satisfacen el criterio para las personas que más lo necesitaban. El camino de 3.3.8 a 3.3.9 suele ser una única inversión de producto: añadir las passkeys como método de autenticación principal.