Olá,
A primeira coisa é diferenciar validação de cadastro de autenticação.
Quando você define as regras de validação na sua tabela (UsersTable), você diz o que deve ser verificado no momento que um registro é salvo ou alterado.
Quando você faz o envio de um formulário de login, você não está criando nenhum registro, então não passa pelas validações da sua tabela.
Pelos códigos que você inclui de anexo, parece que você quer mostrar alguma mensagem na tela de login, correto?
Nesse caso, a única informação que você tem (e deveria informar) é se os dados inseridos batem ou não com algum cadastro interno (da forma como você já definiu na ação login).
Seu problema é a mensagem "Nombre de usuario o contraseña incorrectos, inténtalo de nuevo" não aparecer na tela? Caso seja, inclua no seu "Users/login" algo como: <?= $this->Flash->render(); ?>
Att,