Defaults.Exposed › Informes
La puntuación de exposición del dominio: la mayoría tiene 1 de 5 protecciones básicas (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo de 261 millones de dominios evaluados. La puntuación de exposición cuenta cuántas de las cinco protecciones básicas tiene implementadas un dominio: SPF, una política DMARC que se aplica, DNSSEC, HTTPS y HSTS (0 = ninguna, 5 = todas). Consulta cómo evaluamos.
Elige cinco protecciones básicas cualesquiera, puntúa cada dominio de internet sobre cinco, y el resultado típico es uno — quizá dos. En 261 millones de dominios, el 8,8% no tiene ninguna de las cinco, la mayoría se agrupa en una o dos, y solo el 0,09% tiene las cinco. La curva de exposición no es una campana con un centro saludable: está amontonada en la parte baja.
La curva de exposición
Número de las cinco protecciones básicas (SPF · DMARC que se aplica · DNSSEC · HTTPS · HSTS) que tiene implementadas un dominio. A fecha de 2026-06-29:
| Protecciones implementadas | Proporción de dominios | |
|---|---|---|
| 0 — totalmente expuesto | 8,8% | 23.105.485 dominios |
| 1 | 37,2% | |
| 2 | 39,7% | |
| 3 | 12,0% | |
| 4 | 2,1% | |
| 5 — totalmente protegido | 0,09% | 247.054 dominios |
Dos cifras cuentan la historia: el 8,8% saca cero — sin autenticación de correo, sin cifrado, nada — y solo el 0,09% lo hace todo bien. El resultado más común es una o dos protecciones, casi siempre HTTPS (ahora generalizado) más, en el mejor de los casos, un SPF que no se aplica. Los controles que realmente detienen los ataques — DMARC aplicado, DNSSEC, HSTS — son donde casi todo el mundo se queda corto.
Por qué la curva está tan baja
Es la misma causa raíz en cada capa: estas protecciones están desactivadas por defecto y hay que activarlas deliberadamente. HTTPS subió porque los hosts y las CDN empezaron a habilitarlo automáticamente — por eso es la única protección que tienen la mayoría de los dominios. Las otras cuatro siguen requiriendo que un propietario sepa que existen y actúe:
- HTTPS es común porque se convirtió en un valor por defecto.
- SPF está medio adoptado, pero suele ser demasiado débil para importar sin DMARC.
- DMARC aplicado, DNSSEC y HSTS requieren todos un paso deliberado que casi nadie da — por eso la puntuación se estanca en uno o dos.
Nada de esto es caro. La diferencia entre un 1 y un 5 son unos pocos cambios de configuración, todos gratuitos. La barrera es la conciencia, no el coste.
¿Dónde te sitúas en la curva?
La mayoría de los propietarios asumen que son un 3 o un 4 y se sorprenden al descubrir que son un 1 — un sitio HTTPS cuyo correo cualquiera puede falsificar. La única forma de conocer tu puntuación es comprobarla. Subir por la curva es el trabajo de seguridad de mayor impacto que la mayoría de las pequeñas empresas pueden hacer, y es gratis.
Preguntas frecuentes
¿Qué es una buena línea base de seguridad de dominio? Tener las cinco: SPF, DMARC aplicado, DNSSEC, HTTPS y HSTS — el «5 de 5» que solo alcanza el 0,09% de los dominios. Un objetivo realista a corto plazo para la mayoría de las empresas es la autenticación de correo aplicada (SPF + DMARC) más HTTPS válido.
¿Qué significa «totalmente expuesto»? Un dominio sin ninguna de las cinco protecciones — sin autenticación de correo, sin cifrado, sin endurecimiento de DNS ni de transporte. El 8,8% de los dominios está en este estado.
¿Por qué la mayoría de los dominios solo tienen una o dos protecciones? Normalmente HTTPS (ahora un valor por defecto común) y como mucho un SPF que no se aplica. Las protecciones que requieren un paso manual deliberado — DMARC aplicado, DNSSEC, HSTS — las omite la gran mayoría.
¿Cómo mejoro mi puntuación? Aplica DMARC, asegura un HTTPS válido, añade HSTS y considera DNSSEC. Todos son cambios de configuración gratuitos. Comprueba tu dominio para ver cuáles te faltan.
Mira tu puntuación de exposición
Descubre cuántas de las cinco tienes — y exactamente cómo cerrar las brechas — de forma privada y gratuita.
Comprueba tu dominio → · ¿Puede alguien suplantar tu dominio? → · The State of Domain Security 2026 → · Solo datos agregados. Datos almacenados y procesados en la UE.