Defaults.Exposed › Soluciones
Corrige la seguridad de tu dominio: guías gratuitas paso a paso
Guías en lenguaje claro para corregir cada problema que calificamos: SPF, DKIM, DMARC, DNSSEC, TLS, certificados y cabeceras de seguridad HTTP. Cada una explica qué es, cuánto puede costarle a tu negocio y exactamente cómo configurarlo en tu proveedor.
- Cabeceras de aislamiento de origen cruzado (COOP / CORP / COEP)
Tres instrucciones opcionales para el navegador que controlan cómo se permite a otros sitios web interactuar con el tuyo: abrirlo en ventanas emergentes, incrustar sus imágenes y scripts, o arrastrar sus recursos a sus propias páginas. Son endurecimiento moderno, no un imprescindible básico, y en nuestra puntuación son informativas: que falten no baja tu nota. Pero las dos seguras cierran un hueco silencioso de phishing y robo de ancho de banda, y el equipo de informática de un comprador cuidadoso se fijará cuando estén presentes. - CDN / WAF y hosting
Dos lecturas de la fontanería que hay detrás de tu sitio web: si te sitúas detrás de un escudo protector (un CDN con un cortafuegos de aplicaciones web, como Cloudflare) que filtra ataques y absorbe picos de tráfico, y un mapa de quién gestiona realmente tu DNS, tu sitio web y tu correo. Ambas son informativas en nuestra puntuación —no mueven tu nota—, pero describen cuán expuesto está tu servidor de origen a ataques y caídas, y cuán enredados están tus proveedores. Un escudo delante y un conjunto de proveedores sensatamente repartido es como se ven los negocios resilientes. - Cifrado moderno (versión de TLS y cifrados)
El TLS es el candado que codifica los datos que fluyen entre tus visitantes y tu web. Dos cosas hacen que ese candado sea de fiar: usar una versión moderna de TLS (no las antiguas y rotas) y usar cifrados fuertes (la receta de codificación en sí). Esta página cubre ambas, además de unos ajustes relacionados que no afectan a tu calificación pero que conviene conocer. - Compatibilidad con IPv6
IPv6 es la versión más nueva y mucho más amplia del sistema de direcciones de internet, introducida porque el antiguo (IPv4) se quedó sin espacio. Añadir compatibilidad con IPv6 significa que tu sitio web y tu correo se pueden alcanzar por la red moderna además de por la antigua. En nuestra puntuación esto es informativo —no tenerlo no baja tu nota—, pero es un asunto real de alcance: una porción creciente de clientes móviles y del extranjero se conecta por redes solo-IPv6, y te alcanzan sin fricciones únicamente si lo soportas. La solución es gratuita y vive en tu configuración de DNS y hosting. - Configuración de servidores de nombres (diversidad y SOA)
Tus servidores de nombres son el directorio que le dice a todo internet dónde encontrar tu sitio web y tu correo. Si todos están en una sola red y esta cae, tu negocio desaparece de internet en el mismo instante —sin sitio, sin correo, sin nada— y un ajuste de reloj descuidado en esos servidores puede dejar los cambios que hagas atascados durante días. - Content-Security-Policy (CSP)
Una Política de Seguridad de Contenido es una regla de seguridad que tu web entrega al navegador de cada visitante, indicándole exactamente qué código tiene permiso para ejecutarse. Sin ella, si algo malicioso aterriza alguna vez en una página —a través de un cuadro de comentarios, un complemento pirateado o un script de terceros—, el navegador lo ejecutará sin restricciones, incluido el código que copia en silencio los números de tarjeta y las contraseñas de tus clientes mientras los escriben, con el candado aún visible. - DKIM
El DKIM es el sello invisible a prueba de manipulaciones que lleva cada correo que envía tu empresa. Permite al proveedor de correo receptor confirmar que el correo vino realmente de ti y llegó sin cambios. Sin él, tu correo es más fácil de falsificar, más fácil de alterar y mucho más propenso a acabar en spam. - DMARC (Protección contra la suplantación de correo)
El DMARC es el único ajuste que de verdad le dice a los proveedores de correo del mundo que BLOQUEEN los correos que falsifican el nombre de tu empresa. SPF y DKIM revisan las cerraduras; DMARC decide qué pasa cuando una falsificación no supera la comprobación: a la basura, marcado, o pasar sin más. Mal configurado, tu dominio es totalmente falsificable; bien configurado, la suplantación se detiene antes de la bandeja de entrada. - DNS inverso (PTR)
El DNS inverso es la credencial del servidor que envía el correo de tu empresa. Cuando un proveedor receptor como Gmail o Microsoft 365 consulta quién hay detrás de la dirección emisora y obtiene un nombre que cuadra, tu correo parece legítimo. Cuando no hay credencial —o el nombre y el número no concuerdan—, tus facturas y presupuestos perfectamente reales se tratan como sospechosos y se mandan en silencio a la basura o se rechazan. - DNSSEC
DNSSEC es un sello digital sobre la agenda de direcciones de tu dominio. Permite a internet demostrar que la respuesta a «¿dónde vive este dominio?» vino de verdad de ti y no fue manipulada por el camino. Sin él, la respuesta puede falsificarse, y tus visitantes acabar enviados sin ruido a otra parte. - HSTS (Strict-Transport-Security)
El HSTS es una instrucción de una línea que tu web da a cada navegador: «vuelve siempre a mí por la conexión segura y cifrada, nunca por la insegura». Sin él, tu candado puede arrancarse en silencio en una wifi compartida, y la primerísima visita a tu web queda expuesta. - HTTPS y redirección segura forzada
El HTTPS es el candado en la barra del navegador: cifra todo lo que viaja entre tu web y tus clientes para que no pueda leerse ni manipularse en tránsito. La redirección segura forzada se asegura de que los visitantes aterricen automáticamente en esa versión cifrada, incluso cuando escriben tu dirección sin «https://». Juntos son lo más básico que necesita una web para considerarse segura siquiera. - Protección contra adivinación de tipos MIME (X-Content-Type-Options)
Una cabecera de una sola línea que impide a los navegadores adivinar qué es realmente un archivo. Sin ella, un archivo que alguien suba a tu sitio (o un archivo de tus propias páginas) puede ser malinterpretado por el navegador y ejecutarse como código, que es exactamente como algunos ataques convierten una subida de aspecto inofensivo en una vía para robar las sesiones de tus clientes. - Protección contra clickjacking (X-Frame-Options)
Una instrucción de una sola línea que indica a los navegadores que no permitan que otros sitios web carguen el tuyo en secreto dentro de los suyos. Sin ella, un estafador puede ocultar tus páginas reales, con la sesión ya iniciada, detrás de una página falsa y engañar a tus clientes para que pulsen cosas que nunca quisieron pulsar: aprobar un pago, cambiar una contraseña, conceder acceso. - Referrer-Policy
Una Referrer-Policy es una instrucción de una sola línea que tu sitio web entrega al navegador de cada visitante y que controla cuánta parte de tu dirección web viaja con él cuando hace clic en un enlace hacia otro sitio. Sin ella, la dirección completa de la página en la que estuviera —términos de búsqueda, números de cuenta, enlaces de restablecimiento, rutas internas y todo lo demás— se entrega sin hacer ruido al siguiente sitio al que llegue, incluidos anunciantes, empresas de analítica y cualquier otro lugar al que apunte un enlace. - Registros CAA
Un registro CAA es una breve instrucción en la configuración de tu dominio que nombra qué empresas de certificados pueden emitir el certificado de seguridad del «candado» para tu sitio web. Con él activado, ninguna otra empresa puede crear sin ruido un certificado válido a tu nombre. - Registros MX (Configuración de correo)
Un registro MX es la señal que le indica al resto del mundo dónde entregar el correo dirigido a tu dominio. Si falta o está roto, cada mensaje enviado a tu empresa —consultas de clientes, restablecimientos de contraseña, facturas, contratos— rebota de vuelta al remitente. Sin MX, no hay bandeja de entrada. - Salud del certificado TLS
Tu certificado SSL/TLS es la tarjeta de identidad digital que demuestra que un visitante está hablando de verdad con tu web —y no con un impostor— y hace funcionar el candado del navegador. Esta comprobación examina si ese certificado es válido y de confianza, no está a punto de caducar, y está construido con criptografía fuerte y moderna. - SPF (Marco de Directivas del Remitente)
El SPF es la línea, dentro de la configuración de tu dominio, que enumera qué servicios de correo tienen permiso para enviar mensajes en nombre de tu empresa. Sin él, cualquier persona del mundo puede enviar correos que parezcan tuyos, y tu propio correo legítimo tiene más probabilidades de acabar en la carpeta de spam de tus clientes.