Defaults.Exposed

Defaults.Exposed › Informes

Los pocos plenamente protegidos: el 3,87% que llegó hasta el final

Publicado 2026-07-03 · actualizado 2026-07-03

Cifras a fecha de 2026-06-29 · metodología v7. Datos del censo que unen las comprobaciones por dominio en 261 millones de dominios calificados. “Plenamente protegido” en este artículo significa la pila completa de autenticación de correo, aplicada: SPF presente, DKIM presente y una política DMARC de quarantine o reject. La pirámide de exposición cuenta cinco protecciones esenciales por dominio — SPF, DMARC aplicado, DNSSEC, HTTPS, HSTS. Las cifras de solapamiento aquí provienen de la unión por dominio, cuyo grano de deduplicación difiere marginalmente de los recuentos por división de política citados en las páginas de DAMMM (27.640.987 frente a 27.639.358 dominios que aplican) — cada página cita su propia fuente, y las dos nunca se mezclan. Todas las cifras son agregadas — nunca publicamos la calificación de un negocio individual.

Qué hacen distinto los dominios plenamente protegidos: llegan hasta el final

Solo el 3,87% de los 261 millones de dominios calificados de internet — 10.092.481 de ellos — ejecuta la pila completa y aplicada de protección del correo: SPF y DKIM implantados, DMARC en quarantine o reject. Lo interesante de este grupo es lo que no es. No es un club de equipos de seguridad con presupuestos mayores — cada control implicado es un ajuste gratuito de DNS o de servidor web. El 3,87% no es más listo que los demás; es sistemático. Trataron las protecciones como una sola pila que terminar, en lugar de cinco proyectos separados que empezar, y el resto de este artículo trata de cómo se ve eso en los datos del censo.

Para apreciar lo inusual que es terminar, empecemos por dónde se sitúan todos los demás.

La pirámide de exposición: cinco protecciones, seis plantas

Puntúa cada dominio en cinco protecciones de buenas prácticas — SPF, DMARC aplicado, DNSSEC, HTTPS, HSTS — un punto cada una, e internet se ordena en una pirámide (la curva de exposición, vista planta por planta). A fecha de 2026-06-29:

PlantaProtecciones implantadasPorcentaje de dominiosDominios
0Ninguna — plenamente expuesto8,8%23.105.485
1Una (normalmente solo HTTPS)37,2%97.206.153
2Dos (típicamente HTTPS + SPF)39,7%103.527.371
3Tres12,0%31.424.343
4Cuatro2,1%5.575.826
5Las cinco — plenamente blindado0,09%247.054

La forma cuenta la historia antes que cualquier cifra individual. El 76,9% de todos los dominios — 201 millones — se sitúa en las plantas 1 y 2, con exactamente las protecciones que llegaron por defecto y nada más. HTTPS está ahí porque los hostings y las CDN lo activaron automáticamente; SPF está ahí porque la guía de incorporación de todo proveedor de correo empieza por él. Todo lo que hay por encima de la planta 2 requiere que un propietario decida — y en cada decisión, la mayor parte de internet se detiene. Las plantas 4 y 5 juntas albergan apenas el 2,2% de los dominios.

La pirámide no es una clasificación de a quién le importa. Es un mapa de dónde terminan los valores por defecto y empieza la intencionalidad.

El embudo que escaló el 3,87%

Sigue la mitad de correo de la pila paso a paso y se repite el mismo patrón — cada etapa pierde más de la mitad de los dominios que alcanzaron la anterior:

Ese último recorte merece una pausa. De los aproximadamente 28 millones de dominios que aplican DMARC, solo el 36,5% lleva tanto SPF como DKIM bajo la política. Algunos del resto están haciendo exactamente lo correcto — un dominio que no envía correo debería estar en p=reject con un SPF -all escueto y no necesita DKIM. Pero la brecha también contiene dominios que aplican cuya autenticación es incompleta, que es la pila construida del tejado hacia abajo. El 3,87% se define por el hábito opuesto: los cimientos antes que el tejado, capa por capa, y luego la política encima.

SPF por sí solo cubre 139 millones de dominios y no protege a casi ninguno de ellos — la ilustración más contundente del censo de lo que compra empezar sin terminar.

Una pila, no cinco proyectos

Este es el hábito que distingue al 3,87%, y es organizativo, no técnico.

La mayoría de los dominios acumula protecciones tal como sugiere la pirámide: una cada vez, cada una desencadenada por un estímulo distinto — una advertencia del navegador, un problema de entregabilidad, una lista de verificación de cumplimiento — cada una tratada como su propio pequeño proyecto con su propio “hecho”. “Hecho”, en ese modo, significa el registro existe. Así es como internet acaba con 201 millones de dominios en las plantas 1–2: cinco marcas verdes disponibles, una o dos recogidas, viaje terminado.

Los plenamente protegidos tratan las cinco como un solo sistema con una sola definición de “hecho”: el ataque ya no funciona. El correo falsificado se rechaza, no solo se observa; las sesiones no pueden degradarse, porque HSTS está fijado; las respuestas no pueden intercambiarse sin ruido, allí donde DNSSEC está firmado. En el Modelo de Madurez de Adopción de DMARC, esa es la mentalidad de la Etapa 6 — la protección como una disciplina que se supervisa y mantiene, no una insignia que se ganó una sola vez. Nada en ello requiere una pericia de la que carezca el otro 96%. Requiere terminar — en el orden correcto, comprobando que cada capa realmente se sostiene, y tratando “configurado” como el punto medio y no como el destino.

La cumbre por encima: las cinco juntas

Por encima de los plenamente protegidos en correo se sitúa una población mucho más pequeña: los 247.054 dominios — 0,09% — que mantienen las cinco protecciones a la vez, con DMARC, DNSSEC y HSTS desplegados juntos sobre SPF y HTTPS. La barrera es DNSSEC: válido en apenas el 1,99% de los dominios, es la más rara de las cinco, así que la planta superior de la pirámide es necesariamente diminuta. Si la planta 5 describe tus aspiraciones, el orden sigue importando — aplica primero la autenticación de correo (detiene los ataques que de verdad llegan a diario), luego fija el transporte con HSTS, y después firma la zona.

Cómo unirte al 3,87%

Cada paso es un cambio de configuración, y cada uno es gratuito:

  1. Publica SPF enumerando tus remitentes reales, terminando en -all. (Arreglar SPF →)
  2. Habilita DKIM con cada servicio que envíe en tu nombre — la mayoría de los proveedores lo dejan en un interruptor. (Arreglar DKIM →)
  3. Publica DMARC con informes, observa y luego aplicap=none más rua= primero, identifica cada remitente legítimo, y después pasa a quarantine y reject. Este es el muro que la mayoría de los dominios nunca escala, y es trabajo de investigación, no de dinero. (Arreglar DMARC →)
  4. Después, la capa web: HSTS en tu sitio HTTPS, y DNSSEC si tu proveedor de DNS gestiona la firma por ti.

Un dominio que no envía correo puede saltarse por completo la fase de observación: SPF -all y p=reject hoy, un solo cambio de DNS, directo más allá del muro.

Preguntas frecuentes

¿Cómo es un dominio plenamente protegido? SPF y DKIM implantados y una política DMARC de quarantine o reject encima — la pila completa de autenticación de correo, aplicada. 10.092.481 dominios (3,87%) cumplen ese listón. La versión más estricta añade DNSSEC, HTTPS y HSTS: las cinco juntas son el 0,09% de la pirámide.

¿Cuántos dominios tienen DMARC, DNSSEC y HSTS desplegados juntos? El censo publica la puntuación de las cinco protecciones en lugar de cada tabla cruzada por pares, así que la respuesta honesta es una cota: al menos los 247.054 dominios que mantienen las cinco tienen esos tres juntos, y como máximo el 2,2% de los dominios (plantas 4–5) podría tenerlos. En cualquier caso: muy por debajo de uno de cada cuarenta.

¿Es cara la pila completa? No. SPF, DKIM, DMARC, HSTS y DNSSEC son todo configuración — registros DNS y cabeceras de servidor, sin licencias. Los costes reales son atención y secuencia: el trabajo de identificación de remitentes antes de aplicar DMARC es el único paso que exige un esfuerzo sostenido, y es aquel ante el que la mayoría de los dominios se atasca.

¿Qué protección debería ir primero? La autenticación de correo aplicada, porque la suplantación por correo es el ataque al que los negocios corrientes se enfrentan de verdad. HTTPS casi con seguridad ya lo tienes; HSTS es un añadido de una línea; DNSSEC el último, y solo a través de un proveedor que gestione la firma. Escalar planta por planta es mejor que empezar cinco proyectos a la vez — de eso trata precisamente todo.

Comprueba cuántas de las cinco mantienes

La brecha entre el 76,9% de las plantas 1–2 y el 3,87% que llegó hasta el final no es talento ni presupuesto — es una secuencia, y cada paso de ella es gratuito. Puedes comprobarlo de forma privada y gratuita, y ver cuáles de las 34 comprobaciones superas y cómo arreglar las que no.

Comprueba tu dominio → · Las 6 etapas de la madurez de DMARC → · El pilar de DMARC → · Solo datos agregados. Datos almacenados y procesados en la UE.