Cloudflare Turnstile Accesibilidad: resumen

Turnstile: Las declaraciones de conformidad con las WCAG carecen de certificación por parte de terceros

Cloudflare afirma cumplir con las WCAG 2.2 AAA tras un rediseño previsto para 2026, pero no se ha publicado ninguna auditoría independiente.

Cloudflare y Turnstile bloquean el acceso a los usuarios de VPN y proxy

Los usuarios legítimos que utilizan VPN o proxies corporativos suelen verse bloqueados por el código de error Turnstile sin que exista ninguna solución alternativa viable.

Los circuitos de entrenamiento Turnstile frustran a los usuarios con discapacidad

Los falsos positivos atrapan a los usuarios en ciclos interminables de re-verificación, afectando desproporcionadamente a quienes dependen de configuraciones no estándar.

Friendly Captcha ofrece una alternativa verdaderamente accesible

Gracias a la certificación oficial WCAG 2.2 Nivel AA Oro y a la tecnología PoW invisible, el modelo Friendly Captcha garantiza la igualdad de acceso para todos los usuarios desde su diseño. Prueba Friendly Captcha y ›

A la hora de elegir una solución de protección contra bots para su sitio web, la accesibilidad es un factor fundamental. La accesibilidad influye directamente tanto en el cumplimiento normativo como en la experiencia de millones de usuarios reales. A medida que las leyes sobre accesibilidad se endurecen en todo el mundo —desde el Acta Europea de Accesibilidad (EAA) a la ADA y BFSG – los propietarios de sitios web ya no pueden tratar la accesibilidad como una ocurrencia tardía.

Cloudflare Turnstile es una de las alternativas a CAPTCHA más utilizadas en Internet. De hecho, se ofrece el propio widget de Cloudflare 7.67 mil millones de veces todos los días. Con este tipo de alcance, incluso las brechas menores de accesibilidad pueden traducirse en millones de usuarios excluidos.

En este artículo, analizamos en profundidad las funciones de accesibilidad de Cloudflare y Turnstile, examinamos en qué aspectos se queda corta la experiencia del usuario y explicamos cómo es una protección contra bots verdaderamente inclusiva.

Explicación de Cloudflare y Turnstile

Cloudflare Turnstile es un Recambio CAPTCHA desarrollado a partir del Cloudflare. Está diseñado para verificar usuarios sin requerir ninguna interacción del usuario ni la resolución de acertijos interactivos.

El sistema Turnstile de Cloudflare funciona sin causar molestias al usuario. Nunca le plantea retos, sino que recopila información sobre las características del dispositivo, el comportamiento del navegador y los patrones de interacción para determinar si el visitante es humano. Esto mejora la experiencia del usuario al eliminar las pruebas de verificación visibles.

Turnstile se lanzó como producto de disponibilidad general en 2022 y funciona principalmente a través de pruebas de JavaScript invisibles que se ejecutan en segundo plano y que analizar señales del navegador, características de red y patrones de comportamiento automatizado.

Descubre más sobre los modelos Cloudflare y CAPTCHA en nuestra Cubeta Cloudflare Turnstile.

Friendly Captcha cuenta oficialmente con la certificación Oro de las Pautas de Accesibilidad al Web (WCAG) 2.2, Nivel AA.

¿Son realmente accesibles los modelos Cloudflare y Turnstile?

Cloudflare ha realizado importantes inversiones en accesibilidad, especialmente a través de la integral Rediseño de Turnstile y de las páginas de retos, publicado en febrero de 2026. Cloudflare califica este rediseño como “la interfaz de usuario más vista de Internet” y fue una respuesta directa a los problemas de accesibilidad. El rediseño supone un esfuerzo significativo por mejorar la accesibilidad a gran escala.

Más de seis meses después de la EAA Desde su entrada en vigor, el rediseño del widget Turnstile ha resuelto varios problemas de usabilidad que venían de lejos, entre ellos mensajes de error incoherentes, jerga demasiado técnica, estados de error en rojo que resultaban alarmantes y un tamaño de letra de 10 píxeles difícil de leer.

En rediseño del widget Cloudflare y Turnstile con el objetivo de cumplir con el nivel más alto de las Pautas de Accesibilidad para el Contenido Web (WCAG 2.2 AAA).

  • Estas son mejoras genuinas:

  • Tamaños de fuente mínimos en todos los estados

  • Proporciones de color de alto contraste en todas partes

  • Optimizaciones de lectores de pantalla en más de 40 idiomas

  • Una arquitectura de información unificada entre el widget compacto y las pantallas del desafío de página completa

  • Reemplazo de “Enviar comentarios” por una guía “Solucionar problemas” procesable

Sin embargo, una pregunta importante queda en el aire: ¿Estos cambios benefician a los usuarios que más necesitan accesibilidad?

La respuesta depende del usuario humano, su tecnología de asistencia y su conexión a internet.

Cumplimiento de WCAG: Afirmaciones vs. Realidad

La norma Cloudflare ha logrado avances reales en materia de accesibilidad. Sin embargo, las afirmaciones sobre el cumplimiento de los requisitos de accesibilidad que no vayan acompañadas de una certificación independiente deben considerarse con cautela, especialmente por parte de las organizaciones que tienen obligaciones legales en virtud de la EAA, la ADA o la Sección 508.

Cabe destacar que la documentación oficial de Cloudflare indica que Turnstile cumple con las WCAG 2.2 Nivel AAA. La documentación anterior hacía referencia al Nivel AA de las WCAG 2.1, lo que supone una mejora significativa.

Sin embargo, hay varias advertencias importantes.

La declaración de conformidad de Cloudflare es una autodeclaración.

No se ha publicado ninguna auditoría de accesibilidad independiente. Al igual que en el caso de la accesibilidad de hCaptcha, existe una diferencia significativa entre afirmar que se cumple con los requisitos y certificarlo mediante una auditoría realizada por un tercero acreditado.

La comunidad Cloudflare informa de problemas de accesibilidad.

Antes del rediseño de 2026, el foro de la comunidad de Cloudflare documentó aspectos específicos Fallas de WCAG en el widget. Específicamente, los enlaces de “Términos” y “Privacidad” no cumplieron con el requisito mínimo de tamaño de destino (Criterio de éxito 2.5.8). No está claro si todos estos problemas se han resuelto por completo.

El cumplimiento de la norma AAA solo se aplica a la interfaz de usuario del widget Turnstile.

El cumplimiento de las WCAG AAA para la interfaz visual no aborda las implicaciones más amplias en materia de accesibilidad que conlleva la detección de bots dependiente de JavaScript, que puede fallar de forma silenciosa para grupos enteros de usuarios.

4 problemas críticos de accesibilidad en Cloudflare y Turnstile

1. Bloqueo completo para usuarios de VPN y Proxy

Turnstile utiliza indicadores de reputación de red para detectar el tráfico automatizado. Esto significa que los usuarios que se conectan a través de VPN, proxies corporativos o redes compartidas suelen ser identificados erróneamente como bots maliciosos y bloqueados por completo.

A diferencia de un desafío visual CAPTCHA, un bloqueo a nivel de red no ofrece ninguna solución alternativa accesible ni ninguna forma de que el usuario demuestre que es humano. Para los teletrabajadores, los visitantes internacionales o las personas que utilizan herramientas de privacidad por motivos de seguridad personal, se trata de una barrera difícil de superar sin salida.

2. JavaS: Dependencias de scripts y fallos silenciosos

Todo el flujo de verificación de Turnstile depende de que el script Java se ejecute correctamente en el navegador. Los usuarios que utilicen tecnologías de apoyo, navegadores centrados en la privacidad o configuraciones de seguridad personalizadas pueden encontrarse con fallos invisibles sin mensajes de error, sin soluciones de reserva y sin vías alternativas de acceso. A diferencia de los sistemas basados en retos, que pueden ofrecer alternativas de audio, Turnstile no ofrece ningún modo de accesibilidad manual en caso de que el script en segundo plano deje de funcionar.

3. Los bucles de desafío afectan de manera desproporcionada a los usuarios de tecnología de asistencia

Los falsos positivos pueden atrapar a los usuarios en ciclos de verificación repetidos. Las señales que desencadenan estos bucles, como las API de navegador no estándar, las extensiones de lector de pantalla y las configuraciones de navegador reforzadas, se superponen significativamente con las configuraciones utilizadas por personas con discapacidades. Para un usuario de lector de pantalla, navegar por un bucle infinito no es solo frustrante; puede significar perder el acceso a servicios esenciales por completo.

4. La carga de auditoría y corrección recae en los operadores del sitio web

Las deficiencias de accesibilidad de los widgets de terceros son notoriamente difíciles de detectar, documentar y subsanar para los operadores de sitios web. Antes del rediseño de 2026, Turnstile provocaba directamente fallos en las auditorías de las WCAG en los sitios web que lo integraban. Incluso con las mejoras introducidas, las organizaciones con obligaciones legales no pueden controlar ni certificar plenamente la accesibilidad de un script de terceros. Esto genera un riesgo continuo en materia de cumplimiento normativo.

Problemas de UX más allá de la accesibilidad

El Turnstile promete una experiencia de usuario más fluida y con menos obstáculos que los modelos CAPTCHA anteriores en cada paso del recorrido del usuario, desde la primera carga de la página hasta el envío del formulario. Es una promesa que se cumple en la mayoría de los casos, pero no en todos. Incluso para los usuarios sin discapacidad, existen puntos de fricción notables en la experiencia de usuario del Cloudflare y el Turnstile.

Inconsistencia entre implementaciones

Dependiendo de cómo lo hayan integrado los distintos desarrolladores, el aspecto y el comportamiento de Turnstile pueden variar considerablemente. Los administradores de los sitios web eligen el modo del widget (gestionado, no interactivo e invisible), lo que significa que dos sitios web que utilicen Turnstile pueden ofrecer experiencias radicalmente diferentes.

El error de comunicación es otro problema

Antes del rediseño de 2026, los mensajes de error eran crípticos (“La hora de su dispositivo está configurada incorrectamente o esta página de desafío fue cacheada accidentalmente por un intermediario”) o demasiado breves (“Tiempo agotado”). El rediseño ha mejorado esto significativamente, pero los usuarios en sitios web que no se han actualizado a la última versión del widget aún pueden encontrar la experiencia anterior.

Dependencia del proveedor

Turnstile es un producto de Cloudflare. Los desarrolladores web que integran Turnstile dependen de la infraestructura, las políticas y los precios de Cloudflare. Cualquier interrupción del servicio o cambio en las políticas de Cloudflare afecta directamente a la accesibilidad y la funcionalidad de todos los sitios web que utilizan el widget.

Sesgo geográfico y de red

Los usuarios de determinadas regiones o que utilicen ciertos tipos de red pueden encontrarse con dificultades o verse bloqueados debido a señales de riesgo presentes en los datos globales de Cloudflare, lo que constituye una forma de discriminación involuntaria que resulta difícil de detectar o anular para los propietarios de los sitios web.

 

Comparación de accesibilidad: Cloudflare y Turnstile frente a Friendly Captcha

Característica Cloudflare Turnstile Friendly Captcha
Método de verificación
Java: Retos de scripting + browser fingerprinting
Prueba de trabajo (invisible, en el lado del dispositivo) + Evaluación de señales de riesgo
Certificación WCAG
Autodeclarado AAA (sin auditoría de terceros)
Certificado oficialmente WCAG 2.2 Nivel AA Oro
Soporte para lectores de pantalla
Mejorado en el rediseño de 2026; dependiente de JS
Totalmente optimizado; no se requiere interfaz de desafío
Manual de recuperación
Sin opción de respaldo
Sin opción de respaldo
Usuarios de VPN/proxy
Falsos positivos frecuentes y bloqueos
No afectado: sin señales de reputación de red
Navegadores enfocados en la privacidad
Puede desencadenar desafíos repetidos
Sin impacto en la verificación

La diferencia fundamental entre Turnstile y Friendly Captcha radica en el enfoque.

Cloudflare Turnstile se basa en señales ambientales y conductuales, lo que significa que cualquier desviación de un entorno de navegación “normal”, ya sea causada por una discapacidad, una herramienta de privacidad o una ubicación geográfica, aumenta el riesgo de ser identificado erróneamente como un bot.

El modelo de prueba de trabajo de Friendly Captcha, combinado con la evaluación de datos de riesgorequiere que el dispositivo del usuario realice una tarea computacional en segundo plano. Friendly Captcha no recopila datos relacionados con discapacidades ni con el comportamiento en materia de privacidad, y permite a los usuarios saltárselo sin necesidad de interactuar.

Seguridad sin concesiones: accesibilidad sin excusas

Cloudflare Turnstile ha recorrido un largo camino. El rediseño de 2026 supone un gran esfuerzo, y el compromiso con las WCAG 2.2 AAA es una señal de que la accesibilidad ya no es una cuestión secundaria en la protección contra bots.

Sin embargo, las buenas intenciones y un buen diseño no resuelven un problema arquitectónico. Cuando la detección de bots se basa en la reputación de la red, la ejecución de scripts y el browser fingerprinting, cualquier usuario que se desvíe de la norma —ya sea por una discapacidad, el uso de una VPN, un navegador con medidas de privacidad reforzadas o, simplemente, por vivir en la región equivocada— se convierte en un falso positivo en potencia.

Ningún rediseño de widget puede cambiar eso.

Para los operadores de sitios web, las consecuencias son claras: la autodeclaración de cumplimiento de las normas de accesibilidad no ofrece protección jurídica en virtud de la EAA, la ADA o la Sección 508. Un script de terceros que bloquea el acceso a los usuarios de forma silenciosa genera responsabilidad civil para tu dominio, no para el de Cloudflare.

Friendly Captcha se ha diseñado desde cero para eliminar esta disyuntiva en materia de accesibilidad. Su sistema de verificación de prueba de trabajo, combinado con una base de datos global de riesgos que se actualiza continuamente, ofrece una protección contra bots del nivel de enterprise. Este método no identifica a los usuarios, no penaliza a quienes utilizan VPN ni supone ninguna carga para las personas con discapacidad. El resultado cuenta con la certificación oficial WCAG 2.2 Nivel AA Oro, verificada de forma independiente, no autodeclarada.

La mejor medida de seguridad es la que pasa desapercibida. Para cada usuario. Descubre cómo funciona el Friendly Captcha protege tu sitio web de manera accesible y sin compromisos.

FAQ

Cloudflare y Turnstile afirman cumplir con las normas WCAG 2.1 Nivel AA y 2.2 Nivel AAA. Diseñado para ofrecer una experiencia “sin CAPTCHA”, Turnstile elimina los elementos visuales y auditivos que suelen suponer barreras de accesibilidad. Por el contrario, Friendly Captcha es con certificación de oro conforme a WCAG 2.2 Nivel AA.

Aunque Turnstile está diseñado para ser muy accesible, algunos usuarios de Cloudflare han informado de problemas persistentes con el foco del teclado en el widget, como la imposibilidad de desplazarse con la tecla Tab hasta el widget invisible. No obstante, en general se considera que Turnstile es mucho más accesible que los retos tradicionales basados en imágenes.

Las empresas tecnológicas suelen presumir de altos estándares de accesibilidad que no siempre se cumplen en la práctica. Los modelos Cloudflare y Turnstile, diseñados para sustituir al CAPTCHA, presentan en ocasiones problemas de accesibilidad para los usuarios de lectores de pantalla, entre los que se incluyen elementos de interfaz invisibles persistentes, trampas de enfoque del teclado y la falta de una respuesta sonora clara cuando falla una verificación. Aunque están pensados para ser “invisibles”, los usuarios que navegan con el teclado pueden desplazarse con la tecla Tab hasta un elemento de interfaz que no funciona, lo que provoca confusión a la hora de navegar.

Los usuarios son bloqueados por Cloudflare y Turnstile cuando su navegador, su dirección IP o su actividad imitan el tráfico de bots automatizados en lugar del de un usuario humano. Entre los factores desencadenantes más comunes se incluyen el uso de VPN o proxies con baja reputación, extensiones de navegador que interfieren con los scripts, una hora del sistema incorrecta o la realización de demasiadas solicitudes en un intervalo de tiempo demasiado corto. Turnstile analiza señales como las huellas digitales TLS para verificar que se trata de un usuario humano. Elige Friendly Captcha y tus usuarios nunca volverán a ser bloqueados.

Cloudflare afirma que Turnstile está diseñado para cumplir con el Nivel AAA de las Pautas de Accesibilidad al Contenido Web 2.2. Sin embargo, Cloudflare sigue perfeccionando su interfaz de usuario para garantizar que el propio widget cumpla con estrictos estándares de contraste visual y tamaño.

Friendly Captcha Se considera, en general, la mejor alternativa accesible y centrada en la privacidad a Cloudflare y CAPTCHA. Al tratarse de una solución Proof-of-Work invisible y conforme al RGPD, elimina la frustración de los usuarios al suprimir los acertijos, al tiempo que garantiza la accesibilidad para todos los dispositivos y usuarios.

Proteja su empresa contra los ataques de bots.
Póngase en contacto con el equipo Friendly Captcha Enterprise para ver cómo puede defender sus sitios web y aplicaciones contra bots y ciberataques.
Contacte con nosotros '