Defaults.Exposed › Articles
El estado de la seguridad de los dominios en 2026
Published 2026-06-27
Cifras a fecha de 2026-06-27 · metodología v7. Es un informe recurrente: cada edición vuelve a medir la misma población para poder seguir la evolución de las cifras a lo largo del tiempo. Todas las cifras son agregadas; nunca publicamos la nota de un negocio concreto.
.comestá calificado por completo (129M de dominios) e incluido en los totales que figuran a continuación.
El titular: la mayor parte de internet suspende la seguridad básica de los dominios
Hemos medido 261.752.302 dominios activos con 34 comprobaciones de seguridad: autenticación del correo (SPF, DKIM, DMARC), TLS y certificados, cabeceras de seguridad web y DNS (incluido DNSSEC). El resultado es contundente:
- El 86,3% saca una F, la nota más baja.
- Menos del 0,02% logra una A o una A+, es decir, aproximadamente 1 de cada 4700 dominios.
- Solo en torno a 1 de cada 27 llega a una C o superior.
No es la historia de unos pocos sitios descuidados. Es el estado por defecto de internet: las protecciones que impiden que falsifiquen tu correo y que engañen a quienes te visitan sencillamente no están activadas en la inmensa mayoría de los dominios.
Distribución de notas (262M de dominios)
| Nota | Dominios | Porcentaje |
|---|---|---|
| A+ | 6708 | 0,0% |
| A | 49.443 | 0,0% |
| B | 1.142.198 | 0,4% |
| C | 8.566.735 | 3,3% |
| D | 26.225.422 | 10,0% |
| F | 225.761.796 | 86,3% |
Varía mucho según el país y el TLD
La seguridad de los dominios cambia notablemente según el país y según la terminación del dominio. Los registros nacionales consolidados —sobre todo en Europa— suelen proteger mejor a sus negocios, mientras que las terminaciones genéricas baratas y de alto volumen, populares para el registro masivo, son las que peor lo hacen. Pero “lo mejor” es relativo: incluso las terminaciones más sólidas siguen dejando la mayoría de sus dominios en una F.
Estas clasificaciones cambian a medida que crece el censo, así que las mantenemos en vivo en lugar de congelarlas aquí:
- Los TLD más y menos seguros →
- Seguridad de los dominios por país →
- Seguridad de los dominios por sector →
Qué significa esto para tu negocio
Una nota de suspenso no es una puntuación abstracta. En la práctica suele significar que una o varias de estas cosas son ciertas para tu dominio:
- Pueden falsificar tu correo. Sin SPF y DMARC aplicados, un delincuente puede enviar correos que parecen venir exactamente de ti —a tus clientes, tu personal y tus proveedores— y que llegan a la bandeja de entrada. Así funcionan las estafas de facturas falsas y el fraude del CEO.
- Es más probable que tu correo legítimo acabe en la papelera. Google y Yahoo desconfían cada vez más de los dominios sin autenticar, de modo que tus presupuestos y facturas auténticos terminan en la carpeta de spam sin que nadie se entere.
- No superarás los controles de seguridad de otros. Los clientes grandes pasan un escáner rápido antes de firmar. “Dominio sin proteger: puede ser suplantado” basta para perder el contrato.
- Tu sitio puede ahuyentar a las visitas. Un certificado ausente o defectuoso muestra a los compradores una página roja de “No es seguro”.
La parte alentadora: la mayoría de estos problemas se arreglan gratis y en poco tiempo, normalmente con unas pocas líneas en la configuración de tu dominio. La barrera casi nunca es el coste; es que nadie le dijo al propietario que importaba.
Cómo lo hemos medido
- 34 comprobaciones, observables desde fuera, sin necesidad de acceder a los sistemas de nadie. (Metodología completa.)
- Aprobado / suspenso / N/A. Cuando una comprobación realmente no se puede determinar, se marca como N/A y se excluye: nunca cuenta como un suspenso.
- Un fallo real es un fallo real. Un dominio sin SPF/DMARC saca mala nota porque de verdad puede ser suplantado, no por la forma en que contamos.
- Solo datos agregados. Son patrones de población; la nota de un dominio concreto solo se muestra a su propietario verificado.
- Los datos se almacenan y procesan dentro de la UE.
(Una edición futura añadirá el porcentaje de dominios que no publican ninguna protección contra la suplantación de correo, una vez que ese desglose por comprobación se complete en toda la población.)
Comprueba cómo está tu propio dominio
Estas son medias. Tu dominio podría ser uno del 0,02% que logra una A, o uno del 86,3% que no. Puedes comprobarlo en privado y gratis, y ver exactamente cuáles de las 34 comprobaciones superas y cómo arreglar las que no.