La prueba pública de Turing completamente automatizada para distinguir entre computadoras y humanos (CAPTCHA) se ha arraigado en la navegación por Internet desde que las computadoras personales ganaron impulso en el mercado de la electrónica de consumo. Casi desde que la gente se conecta a Internet, los desarrolladores web han buscado formas de bloquear los robots de spam. El servicio CAPTCHA distingue entre actividad humana y de bot para mantener alejados a los bots. Desafortunadamente, sus métodos son poco precisos. Al tratar de proteger a los humanos, los desarrolladores han hecho que gran parte de la web sea inaccesible para las personas con discapacidades.
Los métodos de autenticación, como CAPTCHA, suelen utilizar clasificación de imágenes, acertijos, muestras de audio o pruebas basadas en clics para determinar si el usuario es humano. Si bien los tipos de desafíos están bien documentados, su lógica no es de conocimiento público. La gente sólo puede adivinar lo que se necesita para "probar" que son humanos.
¿Qué es CAPTCHA? Un CAPTCHA es una prueba de Turing inversa que toma la forma de una prueba de desafío-respuesta. Por ejemplo, si indica a los usuarios que "seleccionen todas las imágenes con escaleras", deben seleccionar las escaleras entre las barandillas, las entradas de vehículos y los cruces peatonales. Alternativamente, se les puede pedir que ingresen el texto que ven, sumen la suma de las caras de los dados o completen un rompecabezas deslizante. Los CAPTCHA basados en imágenes son responsables de las experiencias compartidas más frustrantes que tienen los usuarios de Internet: decidir si seleccionar un cuadrado cuando solo hay una pequeña porción del objeto en cuestión en él.
Independientemente del método, una computadora o un algoritmo determina en última instancia si el examinado es un ser humano o una máquina. Este servicio de autenticación ha generado muchas ramificaciones, incluidas reCAPTCHA y hCAPTCHA. Incluso ha llevado a la creación de empresas enteras, como GeeTest y Arkose Labs. El sistema automatizado reCAPTCHA, propiedad de Google, requiere que los usuarios hagan clic en una casilla de verificación denominada "No soy un robot" para la autenticación. Ejecuta un análisis adaptativo en segundo plano para asignar una puntuación de riesgo. hCAPTCHA es una alternativa basada en clasificación de imágenes. Otros métodos de autenticación incluyen autenticación multifactor (MFA), códigos QR, números de identificación personal temporales (PIN) y datos biométricos. No siguen la fórmula desafío-respuesta, pero sirven propósitos fundamentalmente similares. Estas versiones pretenden ser mejores que las originales, pero a menudo no cumplen con los estándares de accesibilidad modernos. Tomemos como ejemplo hCaptcha, que utiliza una cookie para permitirle omitir por completo la prueba de desafío-respuesta. Es una gran idea en teoría, pero no funciona en la práctica. Se supone que debes recibir un código único por correo electrónico que envías a un número específico por SMS. Los usuarios informan que reciben interminables mensajes de error, lo que los obliga a completar el texto estándar CAPTCHA. Esto solo está disponible si el sitio lo habilitó explícitamente durante la configuración. Si no está configurado, debes completar un desafío de imagen que no reconoce lectores de pantalla. Incluso cuando el proceso inicial funciona, la autenticación posterior se basa en una cookie entre sitios de terceros, que la mayoría de los navegadores bloquean automáticamente. Además, el código caduca después de un corto período, por lo que deberás rehacer todo el proceso si te lleva demasiado tiempo pasar al siguiente paso. ¿Por qué los equipos utilizan CAPTCHA y métodos de autenticación similares? CAPTCHA es común porque es fácil de configurar. Los desarrolladores pueden programarlo para que aparezca y realiza la prueba automáticamente. De esta manera, pueden centrarse en asuntos más importantes y, al mismo tiempo, prevenir el spam, el fraude y el abuso. Se supone que estas herramientas facilitan a los humanos el uso seguro de Internet, pero a menudo impiden que personas reales inicien sesión. Estas pruebas dan como resultado una mala experiencia de usuario en general. Un estudio encontró que los usuarios desperdiciaron más de 819 millones de horas en más de 512 mil millones de sesiones reCAPTCHA v2 hasta 2023. A pesar de todo, los bots prevalecen. Los modelos de aprendizaje automático pueden resolver CAPTCHA basado en texto en fracciones de segundo con más del 97% de precisión. Un estudio de 2024 sobre reCAPTCHA v2 de Google, que todavía se usa ampliamente a pesar del lanzamiento de reCAPTCHA v3, encontró que los bots pueden resolver CAPTCHA de clasificación de imágenes con hasta un 100% de precisión, dependiendo del objeto que deben identificar. Los investigadores utilizaron un modelo gratuito y de código abierto, lo que significa que los malos actores podrían replicar fácilmente su trabajo. ¿Por qué los desarrolladores web deberían dejar de usar CAPTCHA? Los métodos de autenticación como CAPTCHA tienen un problema de accesibilidad. Los avances en el aprendizaje automático obligaron a que estos servicios se volvieran cada vez más complejos. Aún así, no son infalibles. Los robots obtienenlo hace mejor que la gente. Las investigaciones muestran que pueden completar reCAPTCHA en 17,5 segundos, logrando una precisión del 85%. Los humanos tardan más y son menos precisos. Muchas personas no pasan las pruebas CAPTCHA y no tienen idea de qué hicieron mal. Por ejemplo, un mensaje que indica a los usuarios que "seleccionen todos los cuadrados con semáforos" parece bastante simple, pero se complica si una porción del poste está en otro cuadrado. ¿Deberían seleccionar esa casilla o es eso lo que haría un algoritmo? Aunque las capacidades de los bots han crecido enormemente, los humanos siguen siendo los mismos. A medida que las pruebas se vuelven cada vez más difíciles, se sienten menos inclinados a intentarlas. Una encuesta muestra que casi el 59% de las personas dejarán de usar un producto después de varias malas experiencias. Si la autenticación es demasiado engorrosa o compleja, es posible que dejen de utilizar el sitio web por completo. Las personas pueden fallar en estas pruebas por varias razones, incluidas las técnicas. Si bloquean las cookies de terceros, tienen un proxy local ejecutándose o no han actualizado su navegador por un tiempo, es posible que sigan fallando, independientemente de cuántas veces lo intenten. Problemas de autenticación con CAPTCHA Por las razones mencionadas anteriormente, la mayoría de los tipos de CAPTCHA son inherentemente inaccesibles. Esto es especialmente cierto para las personas con discapacidades, ya que estas pruebas de desafío-respuesta no se diseñaron teniendo en cuenta sus necesidades. Algunos de los problemas comunes incluyen los siguientes: Problemas relacionados con el uso de elementos visuales y lectores de pantalla Los lectores de pantalla no pueden leer CAPTCHA visuales estándar, como la prueba de texto distorsionado, ya que las palabras confusas y retorcidas no son legibles por máquina. Los métodos de clasificación de imágenes y rompecabezas deslizantes son igualmente inaccesibles. En una encuesta de WebAIM realizada entre 2023 y 2024, los usuarios de lectores de pantalla coincidieron en que CAPTCHA era el elemento más problemático, clasificándolo por encima de los enlaces ambiguos, los cambios inesperados en la pantalla, la falta de texto alternativo, la búsqueda inaccesible y la falta de accesibilidad del teclado. Su posición en la cima se ha mantenido prácticamente sin cambios durante más de una década, lo que ilustra su historia de inaccesibilidad. Problemas relacionados con la audición y el procesamiento de audio Los CAPTCHA de audio son relativamente poco comunes porque las mejores prácticas de desarrollo web desaconsejan la reproducción automática de audio y enfatizan la importancia de los controles del usuario. Sin embargo, los CAPTCHA de audio todavía existen. Las personas sordas o con problemas de audición pueden encontrar una barrera al realizar estas pruebas. Incluso con tecnología de asistencia, la distorsión intencional del audio y el ruido de fondo hacen que estas muestras sean difíciles de comprender para las personas con trastornos del procesamiento auditivo. Cuestiones relacionadas con la motricidad y la destreza Las pruebas que requieren habilidades motoras y de destreza pueden resultar desafiantes para quienes tienen deficiencias motoras o discapacidades físicas. Por ejemplo, alguien con temblor en las manos puede encontrar difíciles los rompecabezas deslizantes. Además, las pruebas de clasificación de imágenes que cargan más imágenes hasta que no queda ninguna que se ajuste a los criterios pueden suponer un desafío. Cuestiones relacionadas con la cognición y el lenguaje A medida que los CAPTCHA se vuelven cada vez más complejos, algunos desarrolladores recurren a pruebas que requieren una combinación de pensamiento creativo y crítico. Aquellos que requieren que los usuarios resuelvan un problema matemático o completen un rompecabezas pueden resultar desafiantes para personas con dislexia, discalculia, trastornos del procesamiento visual o discapacidades cognitivas. Por qué la tecnología de asistencia no cerrará la brecha Los CAPTCHA están diseñados intencionalmente para que los humanos los interpreten y resuelvan, por lo que la tecnología de asistencia como lectores de pantalla y controles de manos libres pueden ser de poca ayuda. ReCAPTCHA en particular plantea un problema porque analiza la actividad en segundo plano. Si marca los dispositivos de accesibilidad como bots, generará un CAPTCHA potencialmente inaccesible. Incluso si esta tecnología pudiera cerrar la brecha, los desarrolladores web no deberían esperar que lo haga. Los estándares de la industria dictan que deben seguir principios de diseño universales para que sus sitios web sean lo más accesibles y funcionales posible. Los problemas de accesibilidad de CAPTCHA podrían perdonarse si fuera una herramienta de seguridad eficaz, pero está lejos de ser infalible, ya que los bots lo hacen mejor que los humanos. ¿Por qué seguir utilizando un método que es ineficaz y crea barreras para las personas con discapacidad? Hay mejores alternativas. Principios para la autenticación accesible La idea de que los humanos deberían superar consistentemente a los algoritmos está obsoleta. Existen mejores métodos de autenticación, como la autenticación multifactor (MFA). El mercado de la autenticación de dos factores tendrá un valor estimado de 26.700 millones de dólares para 2027, lo que subraya su popularidad. esta herramientaEs más efectivo que un CAPTCHA porque evita el acceso no autorizado, incluso con credenciales legítimas.
Asegúrese de que su técnica MFA sea accesible. En lugar de que los visitantes del sitio web transcriban códigos complejos, debe enviar notificaciones automáticas o mensajes SMS. Confíe en el autocompletado del código de verificación para capturar e ingresar el código automáticamente. Alternativamente, puede introducir una función "recordar este dispositivo" para omitir la autenticación en dispositivos confiables. El enfoque de autenticación de dos factores de Apple está diseñado de esta manera. Un dispositivo confiable muestra automáticamente un código de verificación de seis dígitos, por lo que no es necesario buscarlo. Cuando se les solicite, los usuarios de iPhone pueden tocar la sugerencia que aparece encima del teclado de su móvil para autocompletar.
El inicio de sesión único es otra opción. Este servicio de autenticación de usuario y sesión permite a las personas iniciar sesión en múltiples sitios web o aplicaciones con un único conjunto de credenciales de inicio de sesión, minimizando la necesidad de verificar la identidad repetidamente. Los “enlaces mágicos” de un solo uso son una excelente alternativa a reCAPTCHA y PIN temporales. En lugar de recordar un código o resolver un acertijo, el usuario hace clic en un botón. Evite imponer plazos porque, según el Criterio de Éxito 2.2.3 de las WCAG, los usuarios no deben enfrentar límites de tiempo ya que aquellos con discapacidades pueden necesitar más tiempo para completar acciones específicas. Alternativamente, puedes usar Cloudflare Turnstile. Se autentica sin mostrar un CAPTCHA y la mayoría de las personas ni siquiera tienen que marcar una casilla o presionar un botón. El software funciona emitiendo un pequeño desafío de JavaScript detrás de escena para diferenciar automáticamente entre bots y humanos. Cloudflare Turnstile se puede integrar en cualquier sitio web, lo que lo convierte en una excelente alternativa a las tareas de clasificación estándar. Pruebas y evaluación de diseños de autenticación accesibles Es esencial probar y evaluar sus métodos de autenticación alternativos accesibles. Muchos diseños lucen bien en el papel pero no funcionan en la práctica. Si es posible, recopile comentarios de usuarios reales. Una versión beta abierta puede ser una forma eficaz de maximizar la visibilidad. Recuerde, las consideraciones generales de accesibilidad no solo se aplican a personas con discapacidades. También incluyen a aquellos que son neurodivergentes, carecen de acceso a un dispositivo móvil o utilizan tecnología de asistencia. Asegúrese de que sus diseños alternativos tengan en cuenta a estas personas.
De manera realista, no se puede crear un sistema perfecto ya que cada persona es única. Muchas personas tienen dificultades para seguir procesos de varios pasos, resolver ecuaciones, procesar instrucciones complejas o recordar contraseñas. Si bien los principios universales del diseño web pueden mejorar la flexibilidad, ninguna solución única puede satisfacer las necesidades de todos. Independientemente de la técnica de autenticación que utilice, debe presentar a los usuarios múltiples opciones de autenticación por adelantado. Ellos conocen mejor sus capacidades, así que déjeles decidir qué usar en lugar de intentar diseñar excesivamente una solución que funcione para cada caso extremo. Aborde el problema de accesibilidad con cambios de diseño Una persona con temblores en las manos puede no poder completar un rompecabezas deslizante, mientras que alguien con un trastorno del procesamiento de audio puede tener problemas con muestras de audio distorsionadas. Sin embargo, no se pueden simplemente reemplazar los CAPTCHA con alternativas porque a menudo son igualmente inaccesibles. Los códigos QR, por ejemplo, pueden resultar difíciles de escanear para personas con un control motor fino reducido. Las personas con discapacidad visual pueden tener dificultades para encontrarlo en la pantalla. De manera similar, la biometría puede plantear un problema para personas con deformidades faciales o un rango de movimiento limitado. Abordar el problema de la accesibilidad requiere pensamiento creativo. Puede comenzar visitando los tutoriales de accesibilidad de la Iniciativa de Accesibilidad Web para que los desarrolladores comprendan mejor el diseño universal. Aunque estos tutoriales se centran más en el contenido que en la autenticación, aún puedes utilizarlos a tu favor. El borrador de la nota del grupo W3C sobre la inaccesibilidad de CAPTCHA proporciona orientación más relevante. Comenzar es tan fácil como investigar las mejores prácticas. Comprender los conceptos básicos es esencial porque no existe una solución universal para el diseño web accesible. Si desea optimizar la accesibilidad, considere obtener comentarios de las personas que realmente visitan su sitio web. Lectura adicional
“El CAPTCHA: perspectivas y desafíos”, Darko Brodić y Alessia Amelio “Diseño de texto accesible sobre imágenes: mejores prácticas, técnicas y recursos”, Hannah Milan “En busca del mejor CAPTCHA”, David Bushell “El modelo de puntuación propuesto por las WCAG 3.0: un cambioen Evaluación de Accesibilidad”, Mikhail Prosmitskiy
