Defaults.Exposed › Informes
Cómo calificamos toda la internet: la metodología de seguridad de dominios A–F (2026)
Publicado 2026-06-28
Página de referencia · metodología v7 · datos a fecha de 2026-06-28. Esta página explica cómo se genera cada cifra publicada en este sitio. Todas las estadísticas son agregadas; la calificación individual de un dominio se muestra únicamente a su propietario verificado.
Defaults.Exposed califica dominios de A+ a F en 34 verificaciones de seguridad observables externamente, obtenidas íntegramente desde la internet pública, sin acceder a ningún sistema ajeno. Esta página es la explicación completa y en lenguaje claro de cómo funciona ese proceso: qué medimos, cómo se calcula la nota, qué puede y qué no puede decirte esta información, y las normas éticas que nos imponemos. La transparencia es deliberada: una calificación de seguridad solo es tan fiable como el método que la respalda.
Qué medimos
Cada dominio se evalúa en 34 verificaciones agrupadas en cinco categorías. Cada verificación es algo que cualquiera puede observar desde fuera — no se escanean sistemas privados, no se accede con credenciales ni se realiza ningún tipo de intrusión.
- Autenticación de correo — ¿puede suplantarse este dominio en el correo electrónico? Incluye SPF, DKIM, DMARC (y si DMARC está realmente en modo enforcement) y la configuración de correo (MX).
- TLS y certificados — ¿está el sitio cifrado correctamente? Incluye validez del certificado y coincidencia con el nombre de host, versiones modernas de TLS y HSTS.
- Cabeceras de seguridad web — ¿protege el sitio al navegador? Incluye Content-Security-Policy, protección anti-clickjacking (X-Frame-Options), protección contra MIME-sniffing, Referrer-Policy y cabeceras de origen cruzado.
- DNS — ¿está reforzada la capa de nombres? Incluye DNSSEC, CAA y configuración de servidores de nombres.
- Infraestructura — señales de soporte como DNS inverso y compatibilidad con IPv6.
De las 34 verificaciones, un subconjunto es puntuable (afecta a la nota) y el resto es informativo (se reporta como contexto, pero no penaliza).
Cómo se evalúa cada verificación: apto, no apto o N/A
Cada verificación arroja uno de estos tres resultados:
- Apto — la protección está presente y es correcta.
- No apto — la protección falta o está rota. Un fallo real es un fallo real: un dominio sin SPF y DMARC forzados obtiene mala nota porque genuinamente puede ser suplantado, no por cómo contamos.
- N/A — la verificación no puede determinarse con certeza para este dominio. Los resultados N/A se excluyen de la calificación; nunca penalizan a un dominio.
Este último punto es importante: no penalizamos a un dominio por algo que no pudimos evaluar con justicia.
Cómo se calcula la nota
Las notas son A+, A, B, C, D, F. Reflejan en qué medida un dominio cierra las brechas que importan — con mayor peso para las verificaciones de mayor impacto real (la suplantación de correo y la seguridad del transporte pesan más que las cabeceras secundarias). Un dominio que acierta en los fundamentos de alto impacto y solo deja pequeñas lagunas obtiene una nota alta; uno que falla en lo básico — permitiendo que lo suplanten — obtiene una F.
Como el mismo método se aplica de forma idéntica a todos los dominios, las notas son comparables entre toda la población — lo que hace que las clasificaciones por TLD, país e industria sean significativas.
¿Qué tamaño tiene el conjunto de datos?
Realizamos seguimiento de un inventario de 333 millones de dominios y calificamos la población activa de aproximadamente 260 millones que actualmente resuelven. Las estadísticas publicadas se calculan a partir de esta población en el momento de la compilación y llevan la fecha de referencia del conjunto de datos, para que siempre sepas la actualidad de cada cifra.
¿Qué actualidad tienen los datos?
La flota de análisis opera de forma continua. La población completa se refresca con una cadencia regular — algunos TLDs se miden con mayor frecuencia —, por lo que las cifras de este sitio son una medición viva, no una instantánea puntual. Cada informe muestra su fecha de referencia, y los estudios principales se publican como ediciones recurrentes para poder seguir la evolución en el tiempo.
Qué pueden — y qué no pueden — decirte estos datos
Creemos que los límites importan tanto como los hallazgos:
- La geografía y el sector se deducen del sufijo del dominio, no del registro mercantil. Las cifras de un país se basan en su dominio nacional (ccTLD); las de un sector, en sufijos específicos de esa industria. Una empresa que usa un sufijo genérico como
.comno puede atribuirse a un país o sector a esta escala. Estos segmentos son «suficientemente precisos» para comparar poblaciones, con esta advertencia explícita. - Medimos dominios, no organizaciones. Una misma empresa puede poseer muchos dominios; calificamos cada dominio según su propia configuración.
- Vista exclusivamente externa. Evaluamos lo que es observable desde la internet pública. No vemos — ni intentamos ver — nada que esté detrás de una autenticación.
Nuestras normas: solo agregados, privacidad del propietario, residencia en la UE
Tres compromisos rigen todo lo que publicamos:
- Solo datos agregados. Publicamos patrones poblacionales — clasificaciones por TLD, por país, por industria. Nunca publicamos una página indexada que nombre a una empresa concreta y su nota.
- Privacidad del propietario. La nota individual de un dominio y el desglose por verificación se muestran únicamente al propietario verificado que la consulta.
- Residencia de datos en la UE. Todos los datos se almacenan y procesan dentro de la UE — una postura de cumplimiento y un compromiso deliberado de confianza.
Preguntas frecuentes
¿Cómo calcula Defaults.Exposed la puntuación de seguridad de un dominio? Ejecutando 34 verificaciones observables externamente (autenticación de correo, TLS, cabeceras web, DNS e infraestructura), evaluando cada una como apto / no apto / N/A y ponderándolas según su impacto real para producir una nota de A+ a F.
¿Escanean o atacan los dominios que califican? No. Cada verificación es observable desde la internet pública — la misma información que vería el servidor de correo del destinatario o el navegador de un visitante. No hay autenticación, intrusión ni acceso a sistemas privados.
¿Por qué puede obtener una F un dominio? La causa más habitual es la ausencia de SPF y DMARC forzados, lo que permite que el dominio sea suplantado en correos electrónicos — una debilidad genuina y verificable externamente.
¿Puedo ver la nota de un dominio de una empresa concreta? Solo si es tu propio dominio y verificas la propiedad. Nunca publicamos las notas de empresas individuales.
¿Con qué frecuencia se actualizan los datos? De forma continua. La población completa se refresca con una cadencia regular y cada cifra lleva una fecha de referencia para que sepas su actualidad.
Comprueba tu dominio
La forma más rápida de entender el método es aplicarlo. Comprueba tu propio dominio de forma privada y gratuita, y consulta las 34 verificaciones puntuadas con explicaciones en lenguaje claro y pasos para corregirlas.
Comprueba tu dominio → · La curva de notas de la internet → · Solo datos agregados. Datos almacenados y procesados en la UE.