Olvídate de tu gestor de contraseñas: usuarios ciegos demuestran que el Braille en papel es más fiable que la ciberseguridad moderna
Un fallo en una sola aplicación puede dejar a una persona ciega sin acceso a todo — y esa es la "protección básica" en 2025.
Las contraseñas siguen siendo el método principal de autenticación para la mayoría de los usuarios, aunque desde hace tiempo se consideran un eslabón vulnerable de la ciberseguridad. Las combinaciones demasiado cortas, simples o repetidas siguen facilitando el acceso a los atacantes. Pero para las personas con discapacidad visual a este problema se añade otro —la incompatibilidad de los sistemas de los que depende el funcionamiento correcto de las herramientas de autenticación.
Un investigador del Centro Helmholtz de Seguridad y Privacidad (CISPA), Alexander Ponticello presentó en la conferencia CCS 2025 en Taipéi un trabajo titulado «Cómo los usuarios ciegos y con baja visión gestionan sus contraseñas». Su estudio, basado en entrevistas con 33 participantes de Estados Unidos, muestra cómo las personas con discapacidad visual afrontan la seguridad digital —y dónde fallan exactamente los sistemas.
Ponticello apunta que incluso en 2025 las contraseñas siguen siendo la principal protección de las cuentas en línea, aunque una persona puede tener cientos de ellas. Para ayudar a gestionarlas existen los gestores de contraseñas, que generan combinaciones resistentes, las guardan y las rellenan automáticamente al iniciar sesión. Sin embargo, estas herramientas todavía no se han generalizado. Muchos usuarios no confían en ellas o las consideran demasiado complejas de configurar, especialmente las personas mayores, que miran con recelo las nuevas soluciones digitales. El nuevo estudio amplía la comprensión de cómo almacenan y usan las contraseñas quienes hasta ahora han sido poco considerados: usuarios ciegos y con baja visión.
Como se constató, todos los participantes usan gestores de contraseñas de una forma u otra —consciente o sin serlo, simplemente permitiendo que el navegador o el dispositivo guarde los datos de acceso. Se trata tanto de programas de terceros como LastPass y 1Password, como de soluciones integradas, por ejemplo Google Password Manager o las soluciones del sistema de Apple. Quienes elegían la herramienta de forma deliberada se basaban más a menudo en consejos de conocidos o en foros especializados. Además, la accesibilidad de la interfaz para los lectores de pantalla resultó tan importante para ellos como el nivel de protección de los datos.
Según el investigador, el uso exitoso de los gestores es posible únicamente cuando todos los eslabones de la cadena —el lector de pantalla, la propia aplicación, el sitio web y el sistema operativo— interactúan sin errores. Si uno de ellos falla, es imposible usar los demás. En varios casos, tras actualizaciones, las aplicaciones dejaron de funcionar correctamente con los lectores de pantalla y los usuarios perdieron la confianza en la fiabilidad de todo el sistema.
Las preocupaciones de que los programas de lectura en voz alta supongan un riesgo de fuga de datos resultaron exageradas: la mayoría de los participantes usan auriculares, y la velocidad de reproducción es tan alta que terceros no llegan a entender el texto. Mucho más problemáticos siguen siendo los fallos de integración que impiden la automatización completa de la introducción de contraseñas.
Para compensar la falta de fiabilidad de esas soluciones, algunos encuestados combinan métodos digitales y analógicos —por ejemplo, guardan listas de contraseñas de respaldo impresas en Braille. Aunque ese enfoque no se puede considerar totalmente seguro, permite no depender de errores de software. Otros usuarios simplifican deliberadamente las contraseñas para poder introducirlas manualmente cuando sea necesario, sacrificando el nivel de protección en favor de la estabilidad.
Una de las quejas frecuentes fue la dificultad para generar contraseñas aleatorias con símbolos que resultan difíciles de localizar en el teclado al tacto. Una opción más cómoda podrían ser frases largas compuestas por palabras, pero los lectores de pantalla aún no saben tratarlas como una unidad y verbalizan cada letra por separado. Ponticello considera que los desarrolladores de aplicaciones y las tiendas deberían implantar una clasificación de las herramientas según su nivel de accesibilidad, así como categorías de opiniones separadas donde los usuarios con discapacidad visual puedan compartir su experiencia.
Lo fundamental, según el investigador, es avanzar hacia el principio de «accesibilidad por diseño»: el marcado correcto de los botones, un orden lógico de navegación entre elementos y una interacción predecible con las tecnologías de apoyo deben integrarse desde el inicio, no añadirse después.
Como siguiente paso, Ponticello contempla realizar un estudio similar en Alemania, donde recientemente entró en vigor una ley para aumentar la accesibilidad de los servicios digitales. Le interesa saber cómo esas medidas afectarán al uso de gestores de contraseñas en Europa. En Estados Unidos rigen normas estrictas consagradas en la ley sobre los derechos de las personas con discapacidad (ADA), y en la UE se están introduciendo progresivamente en el marco del Acta Europea de Accesibilidad.
El trabajo de Ponticello demuestra que la accesibilidad no es un lujo, sino una condición necesaria para la seguridad digital. Desde etiquetas de interfaz correctas hasta la integración fiable de todos los componentes, es posible eliminar la mayoría de las barreras si desarrolladores y legisladores empiezan a considerar estas cuestiones como parte de la infraestructura básica. Como subraya el investigador, hay que adaptar los sistemas, no a las personas; solo así la protección de las contraseñas será igualmente fiable para todos.