El Centro Criptológico Nacional (CCN) ha publicado la nueva Guía de Seguridad de las TIC CCN-STIC 465 sobre Ciberaccesibilidad, un documento que busca integrar la accesibilidad digital y la ciberseguridad en el diseño, desarrollo y mantenimiento de sistemas y servicios tecnológicos. La guía, fechada en mayo de 2026, plantea la necesidad de que las medidas de seguridad no generen nuevas barreras para los usuarios y de que las soluciones accesibles mantengan un nivel adecuado de protección.
El documento parte de una idea clave: la transformación digital y la aplicación del Esquema Nacional de Seguridad (ENS) obligan a proteger no solo la información y los servicios, sino también la forma en la que todas las personas interactúan con ellos. En este contexto, el CCN define la ciberaccesibilidad como una disciplina transversal que une ciberseguridad, accesibilidad y diseño inclusivo.
Sistemas seguros, accesibles y comprensibles
La guía está dirigida tanto a organismos públicos como a entidades privadas, especialmente aquellas que se rigen por el ENS o por los principios del CCN-STIC. También se orienta a equipos técnicos, responsables de seguridad, diseño UX/UI, accesibilidad y cumplimiento normativo.
Su propósito es ofrecer un marco metodológico para diseñar sistemas digitales accesibles, seguros y cognitivamente sostenibles. Esto implica que los usuarios puedan comprender las interfaces, tomar decisiones informadas y reducir el riesgo de errores o manipulaciones derivadas de diseños confusos.
El CCN insiste en que una mala experiencia de usuario no solo puede excluir a personas con discapacidad o limitaciones funcionales, sino también convertirse en un riesgo de seguridad. Una alerta poco clara, un botón ambiguo, un temporizador agresivo o un formulario mal diseñado pueden facilitar errores humanos o ser aprovechados en ataques de ingeniería social.
Diez bloques para mejorar la seguridad inclusiva
La guía se estructura en diez bloques técnicos: color, imágenes, teclado, puntero, eventos, tiempo, comprensión y propósito, errores, autenticación y sintaxis y semántica. En cada uno de ellos se relacionan criterios de accesibilidad, como las pautas WCAG 2.2, con objetivos de ciberseguridad y ejemplos prácticos.
Uno de los primeros bloques aborda el uso del color. El documento recuerda que el color no debe ser el único recurso para transmitir información, indicar errores o diferenciar elementos. Desde el punto de vista de la seguridad, un mal uso del color puede generar confusión, facilitar avisos falsos o abrir la puerta a técnicas como el clickjacking.
También se presta atención a las imágenes y elementos visuales. La guía recomienda que iconos, gráficos o botones cuenten con textos alternativos claros y coherentes. Una imagen mal descrita o un botón gráfico sin explicación pueden convertirse tanto en una barrera de accesibilidad como en una vía de manipulación.
Autenticación más clara y menos estresante
Uno de los apartados más relevantes es el dedicado a la autenticación. El CCN defiende que los procesos de identificación, reautenticación y validación multifactor deben poder ser completados por cualquier persona, sin depender exclusivamente de métodos visuales, temporizados o difíciles de comprender.
La guía recomienda evitar formularios de acceso cambiantes, captchas solo visuales, temporizadores demasiado cortos o mensajes de error confusos. También advierte sobre la llamada fatiga de autenticación multifactor, que puede llevar a los usuarios a aceptar solicitudes sin analizarlas correctamente.
En este sentido, el documento apuesta por una autenticación comprensible, predecible y sostenible. Esto incluye mensajes calmados, opciones accesibles, diseño constante y la posibilidad de recordar dispositivos de confianza durante periodos limitados para reducir la fricción sin debilitar la seguridad.
Lenguaje claro como medida de seguridad
Otro de los ejes de la guía es la importancia del lenguaje. El CCN subraya que los botones, enlaces, mensajes de error y formularios deben ser claros, precisos y coherentes. Expresiones genéricas como “Aceptar”, “Enviar” o “Continuar” pueden generar dudas si no explican qué acción concreta se va a realizar.
Desde la perspectiva de la ciberseguridad, esa ambigüedad puede facilitar errores o engaños. Por ello, la guía recomienda usar mensajes explícitos como “Confirmar pago”, “Guardar cambios en el perfil” o “Eliminar archivo”, especialmente cuando se trate de acciones sensibles.
