Defaults.Exposed › Informes
La élite de la nota A: qué hacen diferente los dominios más seguros de la internet (2026)
Publicado 2026-06-28
Cifras a 2026-06-28 · metodología v7. Datos censales agregados — nunca se publica la nota de ninguna empresa individual. Consulta cómo calificamos.
Asegurar un dominio hasta obtener una nota A te sitúa en la fracción superior del uno por ciento de toda la internet. De los 260 millones de dominios calificados, solo 1.202.444 (0,46%) alcanzan una B o superior, y apenas el 0,02% — aproximadamente 1 de cada 4600 — logra una A o A+. Lo notable no es que estos dominios sean escasos. Es que lo que hacen de forma diferente es casi en su totalidad gratuito, estándar y alcanzable en una tarde.
Este es el manual de la élite de la nota A.
¿Qué tan exclusiva es realmente una nota A?
| Nivel | Dominios | Porcentaje | Exclusividad |
|---|---|---|---|
| A o A+ | 6740 + 49.762 | 0,02% | ~1 de cada 4600 |
| B o superior | 1.202.444 | 0,46% | ~1 de cada 220 |
| C o superior | — | — | ~1 de cada 27 |
Para contextualizar: superar una B te pone por delante de más de 99 de cada 100 dominios en la internet. No son los presupuestos de los equipos de seguridad de grandes corporaciones los que están en juego — son los mismos ajustes de DNS disponibles para cualquiera con un dominio. La élite simplemente los activó.
Qué tienen en común los dominios más seguros de la internet
Un dominio con nota A no es uno que hizo una sola cosa brillante. Es uno que cerró todas las brechas habituales. En las 34 verificaciones que calificamos, los dominios de primer nivel aciertan de forma consistente en los mismos fundamentos:
1. Su correo no puede ser falsificado
El mayor diferenciador entre una A y una F es la autenticación de correo forzada:
- SPF publicado y correcto — declarando qué servidores pueden enviar correo en nombre del dominio. (Corregir SPF →)
- DKIM firmando el correo saliente para que no pueda ser manipulado. (Corregir DKIM →)
- DMARC en modo enforcement (
p=quarantineop=reject) — no el ineficazp=none. Esto es lo que realmente impide que un correo falsificado llegue a la bandeja de entrada. (Corregir DMARC →)
Un dominio que publica los tres, en modo enforcement, ha cerrado la puerta al ataque más común de la internet: que alguien envíe correo haciéndose pasar por ti.
2. Su sitio web está cifrado correctamente — no solo «tiene https»
Los dominios de primer nivel no se limitan a servir HTTPS; lo sirven correctamente:
- Un certificado válido y vigente que coincide con el nombre de host. (Certificado →)
- HSTS para que los navegadores rechacen cualquier retroceso a HTTP inseguro. (Corregir HSTS →)
- Solo TLS moderno, con versiones de protocolo obsoletas desactivadas. (TLS →)
3. Su DNS está reforzado
La élite blinda la capa que hay por debajo del sitio web:
- DNSSEC activado, para que las respuestas DNS no puedan ser falsificadas silenciosamente. (Corregir DNSSEC →)
- Registros CAA que restringen qué autoridades de certificación pueden emitir certificados para el dominio. (Corregir CAA →)
4. Envían las cabeceras de seguridad correctas
Los últimos detalles que separan una B de una A+:
- Content-Security-Policy, X-Frame-Options (anti-clickjacking), X-Content-Type-Options y una Referrer-Policy sensata.
- No filtran su stack tecnológico a través de cabeceras
Server/X-Powered-Byexcesivamente detalladas.
El patrón: los dominios seguros acumulan pequeñas victorias
Ningún ajuste individual logra una A. La élite gana acumulando una docena de pequeños pasos de configuración, individualmente gratuitos, hasta que no quedan puertas abiertas. Esa es genuinamente una buena noticia para todos los demás, porque significa que el camino hacia una A no es una compra costosa — es una lista de verificación.
Cómo unirse a la élite de la nota A
- Descubre dónde estás. Realiza una verificación gratuita y obtén tu nota junto con un desglose por verificación de exactamente qué superas y qué no.
- Empieza por el correo. SPF, DKIM y después DMARC en modo enforcement — esto mueve más la aguja y detiene la suplantación.
- Confirma TLS + HSTS, después añade DNSSEC y CAA.
- Añade las cabeceras de seguridad para terminar.
- Vuelve a verificar. La mayoría de estos cambios están activos en minutos o pocas horas.
Preguntas frecuentes
¿Qué hace que un dominio sea seguro?
Autenticación de correo forzada (SPF + DKIM + DMARC en p=quarantine o p=reject), un certificado TLS moderno y válido con HSTS, refuerzo de DNS (DNSSEC y CAA) y un conjunto completo de cabeceras de seguridad HTTP. Los dominios con nota A aciertan en todo esto a la vez.
¿Cuántos dominios tienen nota A? A fecha de 2026-06-28, solo el 0,02% de los 260 millones de dominios calificados logra una A o A+ — aproximadamente 1 de cada 4600.
¿Es caro obtener una A? No. Casi todos los requisitos son cambios de configuración gratuitos en tu DNS o en los ajustes de tu servidor web. La barrera es la falta de conocimiento, no el coste.
¿Cuánto tiempo lleva asegurar un dominio? Las correcciones principales suelen poder hacerse en una tarde; la mayoría se propagan en minutos o pocas horas.
Comprueba a qué distancia está tu dominio de una A
Puede que estés a un solo ajuste del 0,46% superior — o a varios. Compruébalo de forma privada y gratuita, y obtén la lista exacta de qué corregir.
Comprueba tu dominio → · Cómo calificamos → · Solo datos agregados; las notas individuales se muestran únicamente a propietarios verificados. Datos almacenados y procesados en la UE.