Defaults.Exposed › Informes
El salón de la fama de las malas configuraciones: los récords de seguridad más insólitos de la web (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios evaluados. Cada cifra a continuación es un patrón real y recurrente, no un caso aislado. Consulte cómo evaluamos.
La mayoría de los fallos de seguridad son aburridos: un ajuste que se quedó sin activar. Algunos son genuinamente graciosos — el equivalente digital de entregar el edificio con el cartel de «INSERTE NOMBRE DEL INQUILINO» todavía en la ventana. Evaluamos 261 millones de dominios; aquí están los récords que nos hicieron mirar dos veces.
1. El certificado que nadie renombró
Cuando generas un certificado TLS con las indicaciones predeterminadas de OpenSSL y simplemente pulsas Enter, el nombre de la organización se convierte en un marcador de posición. Se supone que esos marcadores deben reemplazarse antes de la puesta en producción. Pero no fue así:
| Nombre de «Emitido por» en el certificado en producción | Sitios |
|---|---|
| Internet Widgits Pty Ltd | 244.468 |
| MyCompany Inc. | 226.830 |
| TRAEFIK DEFAULT CERT | 108.348 |
| localhost | 106.086 |
«Internet Widgits Pty Ltd» es el valor predeterminado literal en la configuración de ejemplo de OpenSSL — y 244.468 sitios públicos están sirviendo un certificado marcado con él. Entre todos los nombres obvios de marcador de posición y predeterminados, 685.732 sitios nunca cambiaron el cartel. Cada uno de ellos también está autofirmado, así que los visitantes reciben una advertencia del navegador — están sirviendo el marcador de posición y el error.
2. DMARC, perdido en la traducción
Una política DMARC solo funciona si dice exactamente p=none, p=quarantine o p=reject. 48.648 dominios publicaron algo distinto — la palabra de la política mal escrita, o redactada en otro idioma por completo (los datos en vivo incluyen versiones en español, francés y portugués de «none»). La intención era correcta; la ortografía exacta no — y DMARC solo acepta la palabra clave en inglés, por lo que todos ellos proporcionan cero protección. (Lista completa y actual con recuentos: los errores tipográficos de DMARC más comunes de internet.)
3. El felpudo de bienvenida de SPF
El único trabajo de SPF es indicar qué servidores pueden enviar correo en tu nombre. 36.014 dominios terminan su registro en +all — lo que significa exactamente lo contrario: «cualquier servidor de internet está autorizado a enviar en mi nombre.» Es el equivalente en seguridad a pegar tu llave a la puerta con cinta adhesiva. Otros 7958 rompen silenciosamente su SPF al superar el límite de 10 consultas DNS, anulándolo por completo. (Más: el informe de configuración incorrecta de SPF.)
4. Mención honorífica: los millones autofirmados
Más allá de los nombres graciosos, 3.378.080 sitios sirven un certificado autofirmado — uno que se emitieron a sí mismos, y que los navegadores rechazan. Normalmente un router, un equipo de pruebas o una herramienta interna que accidentalmente quedó apuntando a internet público y nunca obtuvo un certificado real.
Qué tienen en común los graciosos
Cada entrada aquí tiene la misma causa raíz que los fallos aburridos: un valor predeterminado sin tocar, un paso omitido, un copiar y pegar sin terminar. La web no falla dramáticamente — falla por inercia, un marcador de posición sin renombrar a la vez. Lo bueno: cada uno de estos es un arreglo de cinco minutos.
Preguntas frecuentes
¿Por qué tantos certificados dicen «Internet Widgits Pty Ltd»? Es el nombre de organización predeterminado en la configuración de ejemplo de OpenSSL. Cuando alguien genera un certificado y acepta los valores predeterminados, ese marcador de posición termina en el certificado en producción. 244.468 sitios públicos nunca lo cambiaron.
¿Hace algo una política DMARC en otro idioma?
No. DMARC solo reconoce las palabras clave exactas none, quarantine y reject. Un registro con la palabra de la política mal escrita o redactada en otro idioma es inválido y se ignora — el dominio sigue siendo suplantable.
¿Qué hace SPF +all? Autoriza a todos los servidores de internet a enviar correo en nombre de tu dominio — peor que no tener SPF en absoluto. 36.014 dominios lo tienen, casi siempre por error.
¿Son casos raros y excepcionales? No — cada uno son cientos de miles a millones de dominios, encontrados de forma consistente en un censo de 261 millones de dominios. Son valores predeterminados comunes, no accidentes insólitos.
Compruebe que su dominio no esté en la próxima edición
La mayoría de estos son arreglos de una línea. Compruebe su dominio de forma privada y gratuita — vea su certificado, DMARC y SPF exactamente como los ve internet.
Compruebe su dominio → · Errores tipográficos de DMARC → · Informe de configuración incorrecta de SPF → · El informe de errores de certificado → · Solo datos agregados. Datos almacenados y procesados en la UE.