A proba de Turing Público Completamente Automatizada para Diferenciar a Ordenadores e Humanos (CAPTCHA) está arraigada na navegación por Internet desde que as computadoras persoais gañaron impulso no mercado da electrónica de consumo. Durante case tanto tempo que a xente estivo en liña, os desenvolvedores web buscaron formas de bloquear os bots de spam. O servizo CAPTCHA distingue entre a actividade humana e a de bot para manter os bots fóra. Desafortunadamente, os seus métodos son menos que precisos. Ao tentar protexer aos humanos, os desenvolvedores fixeron que gran parte da web sexa inaccesible para as persoas con discapacidade.
Os métodos de autenticación, como o CAPTCHA, normalmente usan clasificación de imaxes, crebacabezas, mostras de audio ou probas baseadas en clics para determinar se o usuario é humano. Aínda que os tipos de desafíos están ben documentados, a súa lóxica non é de coñecemento público. A xente só pode adiviñar o que fai falta para "probar" que son humanos.
Que é o CAPTCHA? Un CAPTCHA é unha proba de Turing inversa que toma a forma dunha proba de desafío-resposta. Por exemplo, se indica aos usuarios que "seleccionen todas as imaxes con escaleiras", deben escoller as escaleiras das varandas, das calzadas e dos pasos de peóns. Alternativamente, pódeselles pedir que introduzan o texto que ven, que sumen a suma de caras de dados ou que completen un puzzle deslizante. Os CAPTCHA baseados en imaxes son os responsables das experiencias compartidas máis frustrantes que teñen os usuarios de Internet: decidir se seleccionar un cadrado cando só hai unha pequena parte do obxecto en cuestión.
Independentemente do método, unha computadora ou algoritmo determina en última instancia se o que toma a proba é humano ou máquina. Este servizo de autenticación xerou moitas ramificacións, incluíndo reCAPTCHA e hCAPTCHA. Incluso levou á creación de empresas enteiras, como GeeTest e Arkose Labs. O sistema automatizado reCAPTCHA de Google require que os usuarios fagan clic nunha caixa de verificación etiquetada como "Non son un robot" para a autenticación. Realiza unha análise adaptativa en segundo plano para asignar unha puntuación de risco. hCAPTCHA é unha alternativa baseada na clasificación de imaxes. Outros métodos de autenticación inclúen a autenticación multifactor (MFA), códigos QR, números de identificación persoal temporal (PIN) e datos biométricos. Non seguen a fórmula desafío-resposta, pero serven a fins fundamentalmente similares. Estes vástagos pretenden ser mellores que os orixinais, pero moitas veces non cumpren os estándares de accesibilidade modernos. Tome hCaptcha, por exemplo, que usa unha cookie para permitirche pasar por completo a proba de resposta ao desafío. É unha gran idea en teoría, pero non funciona na práctica. Deberías recibir un código único por correo electrónico que envías a un número específico por SMS. Os usuarios informan de recibir mensaxes de erro infinitas, o que lles obriga a completar o CAPTCHA de texto estándar. Isto só está dispoñible se o sitio activouno explícitamente durante a configuración. Se non está configurado, debes completar un desafío de imaxe que non recoñece lectores de pantalla. Mesmo cando o proceso inicial funciona, a autenticación posterior depende dunha cookie entre sitios de terceiros, que a maioría dos navegadores bloquean automaticamente. Ademais, o código caduca despois dun curto período de tempo, polo que tes que refacer todo o proceso se tardas demasiado en pasar ao seguinte paso. Por que os equipos usan CAPTCHA e métodos de autenticación similares? CAPTCHA é común porque é fácil de configurar. Os desenvolvedores poden programalo para que apareza e realiza a proba automaticamente. Deste xeito, poden centrarse en asuntos máis importantes, evitando o spam, a fraude e o abuso. Suponse que estas ferramentas facilitan que os humanos usen Internet de forma segura, pero moitas veces evitan que as persoas reais inicien sesión. Estas probas dan lugar a unha mala experiencia do usuario en xeral. Un estudo descubriu que os usuarios perderon máis de 819 millóns de horas en máis de 512.000 millóns de sesións reCAPTCHA v2 a partir de 2023. A pesar de todo, os bots prevalecen. Os modelos de aprendizaxe automática poden resolver CAPTCHA baseado en texto en fraccións de segundo cunha precisión superior ao 97%. Un estudo de 2024 sobre o reCAPTCHA v2 de Google, que aínda se usa moito a pesar do lanzamento de reCAPTCHA v3, descubriu que os bots poden resolver a clasificación de imaxes CAPTCHA con ata o 100 % de precisión, dependendo do obxecto que teñan que identificar. Os investigadores utilizaron un modelo gratuíto de código aberto, o que significa que os malos actores poderían replicar facilmente o seu traballo. Por que os desenvolvedores web deberían deixar de usar CAPTCHA? Os métodos de autenticación como CAPTCHA teñen un problema de accesibilidade. Os avances da aprendizaxe automática obrigaron a que estes servizos fosen cada vez máis complexos. Aínda así, non son infalibles. Os bots recibené máis correcto que a xente. A investigación mostra que poden completar reCAPTCHA en 17,5 segundos, logrando un 85 % de precisión. Os humanos tardan máis e son menos precisos. Moitas persoas fallan nas probas CAPTCHA e non teñen idea do que fixeron mal. Por exemplo, un aviso que indica aos usuarios que "seleccionen todas as prazas con semáforos" parece bastante sinxelo, pero complícase se unha peza do poste está noutra praza. Deberían seleccionar esa caixa ou é iso o que faría un algoritmo? Aínda que as capacidades dos bots creceron en magnitudes, os humanos permaneceron igual. A medida que as probas se fan cada vez máis difíciles, se senten menos inclinadas a intentalas. Unha enquisa mostra que case o 59% das persoas deixarán de usar un produto despois de varias malas experiencias. Se a autenticación é demasiado complicada ou complicada, poden deixar de usar o sitio web por completo. As persoas poden fallar estas probas por varios motivos, incluídos os técnicos. Se bloquean cookies de terceiros, teñen un proxy local en execución ou non actualizan o seu navegador dende hai un tempo, poden seguir fallando, independentemente de cantas veces o intenten. Problemas de autenticación con CAPTCHA Debido ás razóns mencionadas anteriormente, a maioría dos tipos de CAPTCHA son inherentemente inaccesibles. Isto é especialmente certo para as persoas con discapacidade, xa que estas probas de desafío-resposta non foron deseñadas pensando nas súas necesidades. Algúns dos problemas comúns inclúen os seguintes: Problemas relacionados co uso das imaxes e do lector de pantalla Os lectores de pantalla non poden ler os CAPTCHA visuais estándar, como a proba de texto distorsionado, xa que as palabras confusas e contorsionadas non son lexibles pola máquina. A clasificación de imaxes e os métodos de crebacabezas deslizantes son igualmente inaccesibles. Nunha enquisa de WebAIM realizada entre 2023 e 2024, os usuarios de lectores de pantalla acordaron que o CAPTCHA era o elemento máis problemático, situándoo por riba de ligazóns ambiguas, cambios inesperados na pantalla, falta de texto alternativo, busca inaccesible e falta de accesibilidade ao teclado. O seu lugar na parte superior permaneceu practicamente sen cambios durante máis dunha década, o que ilustra a súa historia de inaccesibilidade. Problemas relacionados coa audición e o procesamento do audio Os CAPTCHA de audio son relativamente pouco comúns porque as mellores prácticas de desenvolvemento web desaconsellan a reprodución automática de audio e destacan a importancia dos controis do usuario. Non obstante, aínda existen os CAPTCHA de audio. As persoas con discapacidade auditiva ou xordas poden atopar unha barreira ao intentar estas probas. Incluso coa tecnoloxía de asistencia, a distorsión intencionada do audio e o ruído de fondo fan que estas mostras sexan un reto para as persoas con trastornos de procesamento auditivo. Cuestións relacionadas coa motricidade e a destreza As probas que requiren habilidades motrices e de destreza poden ser un reto para aqueles con discapacidades motoras ou discapacidades físicas. Por exemplo, alguén con tremor da man pode atopar difíciles de deslizar os crebacabezas. Ademais, as probas de clasificación de imaxes que cargan máis imaxes ata que non quede ningunha que se axuste aos criterios poden supoñer un desafío. Cuestións relacionadas coa cognición e a linguaxe A medida que os CAPTCHA se fan cada vez máis complexos, algúns desenvolvedores están recorrendo a probas que requiren unha combinación de pensamento creativo e crítico. Aqueles que requiren que os usuarios resolvan un problema de matemáticas ou completen un crebacabezas poden ser un reto para as persoas con dislexia, discalculia, trastornos do procesamento visual ou deficiencias cognitivas. Por que a tecnoloxía de asistencia non cubrirá a brecha Os CAPTCHA están deseñados intencionadamente para que os humanos os interpreten e resolvan, polo que as tecnoloxías de asistencia como os lectores de pantalla e os controis mans libres poden ser de pouca axuda. ReCAPTCHA en particular supón un problema porque analiza a actividade de fondo. Se marca os dispositivos de accesibilidade como bots, servirá un CAPTCHA potencialmente inaccesible. Aínda que esta tecnoloxía puidese salvar a diferenza, os desenvolvedores web non deberían esperar que o faga. Os estándares da industria ditan que deben seguir os principios de deseño universais para que os seus sitios web sexan o máis accesibles e funcionais posible. Os problemas de accesibilidade de CAPTCHA poderían ser perdoados se fose unha ferramenta de seguridade eficaz, pero está lonxe de ser infalible xa que os bots acertan máis que os humanos. Por que seguir utilizando un método ineficaz e que crea barreiras para as persoas con discapacidade? Hai mellores alternativas. Principios para a autenticación accesible A idea de que os humanos deberían superar constantemente os algoritmos está desfasada. Existen mellores métodos de autenticación, como a autenticación multifactor (MFA). O mercado de autenticación de dous factores terá un valor estimado de 26.700 millóns de dólares para 2027, o que subliña a súa popularidade. Esta ferramentaé máis eficaz que un CAPTCHA porque impide o acceso non autorizado, mesmo con credenciais lexítimas.
Asegúrate de que a túa técnica de MFA sexa accesible. En lugar de que os visitantes do sitio web transcriban códigos complexos, debes enviar notificacións push ou mensaxes SMS. Confía no enchemento automático do código de verificación para capturar e introducir o código automaticamente. Alternativamente, podes introducir unha función de "lembrar este dispositivo" para omitir a autenticación nos dispositivos de confianza. O enfoque de autenticación de dous factores de Apple está deseñado deste xeito. Un dispositivo de confianza mostra automaticamente un código de verificación de seis díxitos, polo que non teñen que buscalo. Cando se lle solicite, os usuarios de iPhone poden tocar a suxestión que aparece enriba do teclado do seu móbil para o enchemento automático.
O inicio de sesión único é outra opción. Este servizo de autenticación de usuarios e sesións permite que as persoas inicien sesión en varios sitios web ou aplicacións cun único conxunto de credenciais de inicio de sesión, minimizando a necesidade de verificar a identidade repetida. As "ligazóns máxicas" de uso único son unha excelente alternativa a reCAPTCHA e aos PIN temporais. En lugar de lembrar un código ou resolver un crebacabezas, o usuario fai clic nun botón. Evite impoñer prazos porque, segundo o Criterio de éxito das WCAG 2.2.3, os usuarios non deben enfrontarse a límites de tempo xa que aqueles con discapacidade poden necesitar máis tempo para completar accións específicas. Como alternativa, podes usar Cloudflare Turnstile. Autentifícase sen mostrar un CAPTCHA, e a maioría da xente nunca ten que marcar unha caixa ou premer un botón. O software funciona lanzando un pequeno desafío de JavaScript entre bastidores para diferenciar automaticamente entre bots e humanos. Cloudflare Turnstile pódese incorporar a calquera sitio web, polo que é unha excelente alternativa ás tarefas de clasificación estándar. Proba e avaliación de deseños de autenticación accesibles Probar e avaliar os seus métodos de autenticación alternativos accesibles é esencial. Moitos deseños ven ben no papel pero non funcionan na práctica. Se é posible, recolle comentarios dos usuarios reais. Unha beta aberta pode ser unha forma eficaz de maximizar a visibilidade. Lembra que as consideracións xerais de accesibilidade non só se aplican ás persoas con discapacidade. Tamén inclúen aqueles que son neurodiverxentes, carecen de acceso a un dispositivo móbil ou utilizan tecnoloxía de asistencia. Asegúrate de que os teus deseños alternativos consideren a estas persoas.
De xeito realista, non podes crear un sistema perfecto xa que todos son únicos. Moitas persoas teñen dificultades para seguir procesos de varios pasos, resolver ecuacións, procesar instrucións complexas ou lembrar códigos de acceso. Aínda que os principios universais de deseño web poden mellorar a flexibilidade, ningunha solución única pode satisfacer as necesidades de todos. Independentemente da técnica de autenticación que use, debe presentar aos usuarios varias opcións de autenticación por adiantado. Coñecen mellor as súas capacidades, así que déixalles decidir que usar en lugar de tentar crear unha solución que funcione para todos os casos extremos. Abordar o problema de accesibilidade cos cambios de deseño É posible que unha persoa con tremores nas mans non poida completar un crebacabezas deslizante, mentres que alguén con un trastorno de procesamento de audio pode ter problemas coas mostras de audio distorsionadas. Non obstante, non pode simplemente substituír os CAPTCHA por alternativas porque a miúdo son igualmente inaccesibles. Os códigos QR, por exemplo, poden ser difíciles de escanear para aqueles que teñen un control motor fino reducido. As persoas con discapacidade visual poden loitar para atopalo na pantalla. Do mesmo xeito, a biometría pode supoñer un problema para as persoas con deformidades faciais ou un rango de movemento limitado. Abordar o problema de accesibilidade require pensamento creativo. Podes comezar visitando os titoriais de accesibilidade da Web Accessibility Initiative para que os desenvolvedores comprendan mellor o deseño universal. Aínda que estes titoriais céntranse máis no contido que na autenticación, aínda podes usalos para o teu beneficio. O borrador da nota do Grupo W3C sobre a inaccesibilidade do CAPTCHA ofrece unha orientación máis relevante. Empezar é tan sinxelo coma investigar as mellores prácticas. Comprender os conceptos básicos é esencial porque non existe unha solución universal para o deseño web accesible. Se queres optimizar a accesibilidade, considera obter comentarios das persoas que realmente visitan o teu sitio web. Lecturas complementarias
"O CAPTCHA: Perspectivas e retos", Darko Brodić e Alessia Amelio "Deseño de texto accesible sobre imaxes: mellores prácticas, técnicas e recursos", Hannah Milan "En busca do mellor CAPTCHA", David Bushell "Modelo de puntuación proposto por WCAG 3.0: un cambioen Avaliación da Accesibilidade”, Mikhail Prosmitskiy
