Defaults.Exposed

Defaults.ExposedSolucionesGuides

El cuestionario de seguridad de un cliente pregunta por la autenticación del correo — respóndalo (y cierre las brechas) en una tarde (2026)

Publicado 2026-07-08

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo de 261 millones de dominios calificados — nunca publicamos los resultados de un dominio concreto. Vea cómo calificamos.

Su cliente pregunta porque las normas europeas de seguridad de la cadena de suministro ahora le obligan a comprobar a sus proveedores. Las preguntas tienen un punto de partida de dos minutos: un análisis gratuito califica exactamente lo que están examinando. Solo el 7,4% de los dominios tiene la autenticación del correo totalmente alineada y aplicada, según el censo de Defaults.Exposed de 261.086.232 dominios (a fecha de 2026-06-29) — la mayoría de los proveedores tampoco puede responder “sí” todavía.

Este es el plan para la tarde: ejecute el análisis gratuito, lea el informe calificado de una página, responda con honestidad lo que ya es cierto y cierre ese mismo día las mejoras rápidas gratuitas. Para lo más profundo, un informe fechado más una breve nota de corrección es una respuesta provisional aceptable — y mejor que un “sí” sin respaldo.

¿Por qué nuestro mayor cliente pregunta de repente por la seguridad de nuestro correo?

No es nada personal. Si su cliente entra en el ámbito de NIS2 — la directiva de la UE sobre seguridad de las redes y de la información — el artículo 21(2)(d) le obliga a gestionar la seguridad de su cadena de suministro, y el Reglamento de Ejecución (UE) 2024/2690 de la Comisión detalla las medidas, nombrando específicamente la seguridad del correo electrónico. Así que compras envía un cuestionario a cada proveedor; puede que usted no esté cubierto por NIS2, pero así es como la obligación baja en cascada hasta usted. El plazo y la consecuencia — seguir en la lista de proveedores aprobados — existen porque su cliente debe demostrar a un regulador que hizo la comprobación. (Hemos escrito qué dice realmente NIS2 sobre la autenticación del correo.) Las aseguradoras hacen ahora las mismas preguntas — si su formulario de renovación también ha empezado, esa es la versión aseguradora de esta tarde.

¿Qué significan realmente las preguntas?

La sección de seguridad del correo de un cuestionario de proveedores típico son cuatro preguntas disfrazadas de siglas. Las traducimos una vez, y luego las dejamos de lado.

Lo que pregunta el cuestionarioQué significa en lenguaje claroCómo lo responde el informe del análisis
”¿Aplican una política DMARC?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)¿Ha dicho a los servidores de correo del mundo que rechacen el correo que falsifica su dominio? La fila que la mayoría de los proveedores suspende: solo el 7,4% de 261.086.232 dominios calificados la tiene alineada y aplicada (censo a fecha de 2026-06-29).Indica y califica su política. “Aplicada” significa rechazo o cuarentena; “solo supervisión” aún no bloquea nada — diga cuál es su caso, con honestidad.
”¿Está SPF configurado con una política restrictiva?” (SPF — Sender Policy Framework)¿Ha publicado la lista de servidores autorizados a enviar correo en nombre de su empresa — y termina con firmeza (“nadie más”) o encogiéndose de hombros (“y quizá otros”)?Muestra si la lista existe, es válida y termina con firmeza o con laxitud.
”¿Se firman digitalmente los correos salientes (DKIM)?” (DKIM — DomainKeys Identified Mail)¿Lleva su correo una firma a prueba de manipulaciones que demuestra que salió de su dominio — a nombre de usted, no con el valor predeterminado de su proveedor?Muestra si existe una firma a nombre de su dominio — la trampa del valor predeterminado del proveedor es la brecha más común que encuentra el análisis.
”¿Supervisan la suplantación de su dominio?”Si alguien enviara correo falso en su nombre, ¿se enteraría — o la primera señal sería una llamada airada?Muestra si la dirección de informes está activada, para que los intentos de suplantación lleguen hasta usted.

Cada una de estas preguntas se responde desde la configuración pública de su dominio — sin auditoría, sin agencia, sin acceso a sus sistemas. Por eso funciona el plan de una tarde. Estas cuatro son además solo las filas de correo de una lista más larga: qué comprueban en su dominio los cuestionarios de ciberseguro y de proveedores recoge en tablas cada control que examinan, con la tasa de aprobado a escala de todo internet para cada uno. Esta página se queda con su tarde — qué responder y qué corregir primero.

¿Cómo lo respondemos antes del plazo? El plan de una tarde

  1. Ejecute el análisis gratuito en defaults.exposed — dos minutos, antes de que nadie toque nada. Lee la configuración pública de su dominio y califica exactamente las cuatro áreas de arriba. Sin registro, sin acceso a su correo.
  2. Lea el informe calificado. Una página, en lenguaje claro, con fecha — cada calificación corresponde a una pregunta del cuestionario, así que conocerá sus respuestas reales en lugar de adivinarlas.
  3. Responda lo que ya es cierto. Donde el informe muestre un aprobado, diga que sí y diga por qué (“verificado mediante análisis independiente”, con la fecha).
  4. Cierre ese mismo día las mejoras rápidas gratuitas. Las brechas comunes son ajustes, no compras: una lista de remitentes que termina con laxitud (la corrección de SPF), una regla contra la suplantación ausente o atascada en modo supervisión (la corrección de DMARC), una firma a nombre del valor predeterminado del proveedor. Todo gratuito, en general un registro DNS cada una — reenvíe la página de corrección a quien gestione su dominio, y varios “no” se convierten en “sí” antes de devolver el formulario.
  5. Para lo más profundo, envíe el informe fechado con una nota de corrección. Pasar a una política plenamente aplicada lleva, bien hecho, semanas de supervisión previa — nunca afirme que está terminado cuando no lo está. “Análisis independiente adjunto; despliegue de la aplicación en curso, objetivo septiembre” es una respuesta provisional aceptable para cualquier equipo de compras competente. Un “sí” falso no lo es: los equipos de compras vuelven a comprobar, a menudo con exactamente este tipo de análisis.

¿Puede este cuestionario jugar de verdad a nuestro favor?

Sí — por lo que devuelven todos los demás. La mayoría de los proveedores responde con un “sí” escueto y nada detrás, mientras que solo el 7,4% de 261.086.232 dominios calificados tiene de verdad la postura alineada-y-aplicada que se examina (censo a fecha de 2026-06-29). Un informe fechado y calificado de forma independiente — aunque muestre una brecha y una fecha de corrección — gana a un “sí” sin respaldo, porque uno es verificable y el otro es una esperanza. No le piden ser perfecto; le piden ser comprobable. Pocos de sus competidores en esa lista lo serán.

Y si lo que de verdad le ronda la cabeza es aquella historia de fraude de facturas del evento de networking — son los mismos ajustes, la misma comprobación de dos minutos.

Preguntas frecuentes

¿Y si no puedo corregirlo todo antes del plazo? Envíe lo que sea cierto: el informe fechado, lo que corrigió esta semana y un plan con fechas para el resto. Los revisores de cadena de suministro de NIS2 evalúan si los proveedores gestionan el riesgo, no si son impecables — un informe calificado con una nota de corrección es gestión del riesgo, por escrito. Lo que suspende revisiones es el silencio, o una afirmación que no sobrevive a una nueva comprobación.

¿Puede encargarse mi contratista informático? De los ajustes gratuitos, sí — la lista de remitentes, su propia firma y la regla contra la suplantación son trabajo de DNS rutinario, y las páginas de corrección de arriba están escritas para ese traspaso. Lo que los contratistas consideran, con razón, fuera de su cometido es la capa de criterio: qué política aplicar, cuándo es seguro endurecerla, qué decirle al cliente mientras tanto. El informe calificado convierte esas decisiones en un documento, para que ninguno de los dos improvise.

¿De verdad nos quitarán de la lista de proveedores? Por una respuesta en blanco o una afirmación falsa descubierta — con el tiempo, sí; el cliente tiene un regulador ante el que responder. Por una brecha honesta con fecha de corrección — muy improbable: de todos los 261.086.232 dominios calificados, solo el 10,59% aplica la política contra la suplantación por la que preguntan estos cuestionarios (censo a fecha de 2026-06-29). Ser honesto-con-un-plan le mantiene en la lista.

No estamos cubiertos por NIS2 — ¿podemos ignorar el cuestionario? La obligación es de su cliente, y la cumple eligiendo proveedores comprobables. El margen para destacar es enorme: solo el 7,4% de todos los 261.086.232 dominios calificados tiene la autenticación del correo alineada y aplicada (censo a fecha de 2026-06-29). Una tarde le pone por delante de casi todos los demás nombres de esa lista de proveedores.

Reenvíe el informe a su contacto informático

No vuelva a teclear nada de esto. Ejecute el análisis gratuito y reenvíe dos cosas a quien se ocupe de su dominio: el informe calificado y este artículo. El informe dice exactamente qué ajustes cambiar; las páginas de corrección dan los pasos. Cuando vuelva el informe corregido, las respuestas del cuestionario se escriben solas — calificación a calificación. Después archívelo: el próximo cliente preguntará las mismas cuatro cosas, su renovación del seguro ya lo hace, y un informe fechado que puede adjuntar en cinco minutos es la diferencia entre una tarde y un simulacro de incendio.

Compruebe su dominio → · Qué comprueban los cuestionarios en su dominio → · Aquella historia de fraude de facturas que oyó → · Solo datos agregados. Datos almacenados y procesados en la UE.