Defaults.Exposed › Metodología
Metodología — cómo calificamos
Cada dominio se califica con 34 comprobaciones (25 que cuentan para la calificación + 9 informativas) en cinco categorías: seguridad del correo, TLS y certificados, seguridad web, seguridad DNS e infraestructura. Aquí tienes exactamente cómo funciona — sin caja negra.
Cómo funciona la calificación
Cada comprobación devuelve aprobado, fallo o N/A. La puntuación de un dominio es la proporción de puntos que obtiene entre las comprobaciones que le aplican, traducida a una nota:
| Nota | Puntuación |
|---|---|
| A+ | 95 % + |
| A | 90 % + |
| B | 80 % + |
| C | 70 % + |
| D | 60 % + |
| F | por debajo del 60 % |
Las notas también son relativas — un percentil muestra la posición de un dominio frente a la población de su TLD, no solo frente a una lista fija.
La regla de sin-datos (N/A nunca cuenta como fallo)
Si una comprobación realmente no se puede evaluar (un tiempo de espera agotado, un registro oculto), se marca como N/A y se excluye de la puntuación — nunca cuenta en tu contra. Eso es distinto de un fallo real (sin DMARC, sin HTTPS), que sí es un fallo genuino. Un dominio sin SPF/DMARC merece una puntuación baja: puede ser suplantado.
Principios
- Independiente y externo. Medimos lo que cualquiera en internet puede observar — sin necesidad de acceso a tus sistemas.
- Solo agregados en público. Publicamos patrones (por TLD, país, sector). La calificación de un dominio concreto solo se muestra a su propietario verificado — nunca en público.
- Transparente. La lista completa de comprobaciones está más abajo; las soluciones son gratuitas.
- Procesado en la UE. Los datos se procesan en la UE.
Las 34 comprobaciones
Cada comprobación, lo que significa para tu negocio y si cuenta para tu calificación. Sigue un enlace para ver la guía completa de "qué te cuesta + cómo arreglarlo".
Seguridad del correo
Si tu dominio puede ser suplantado en el correo, y si tu propio correo llega a la bandeja de entrada.
| Comprobación | Lo que significa para tu negocio | ¿Cuenta para tu nota? |
|---|---|---|
| Registro SPF | Evita que los delincuentes envíen correos que parezcan tuyos, y ayuda a que tu correo llegue a la bandeja de entrada. | Puntuada |
| Fortaleza de la política SPF | Un SPF débil solo advierte; uno estricto realmente bloquea las falsificaciones. | Puntuada |
| Política DMARC | La instrucción que indica a los proveedores de correo que rechacen los correos suplantados — el control antisuplantación clave. | Puntuada |
| Informes DMARC | Informa de quién envía correos en tu nombre, para que detectes abusos y errores de configuración. | Puntuada |
| DKIM | Una firma criptográfica que prueba que el correo es genuinamente tuyo; mejora la entregabilidad. | Puntuada |
| Registros MX | Si tu dominio está correctamente configurado para recibir correo. | Puntuada |
| DNS inverso (PTR) | Ayuda a que tu servidor de correo parezca legítimo para que los mensajes no acaben en correo no deseado. | Puntuada |
TLS y certificados
El candado — si el tráfico hacia tu sitio está cifrado con un certificado válido y moderno.
| Comprobación | Lo que significa para tu negocio | ¿Cuenta para tu nota? |
|---|---|---|
| HTTPS disponible | Sin él, los navegadores advierten a los visitantes con "No es seguro" y se marchan. | Puntuada |
| Certificado válido | Un certificado de confianza y correctamente emitido; uno inválido provoca advertencias alarmantes en el navegador. | Puntuada |
| Caducidad del certificado | Un certificado a punto de caducar deja tu sitio fuera de línea con una advertencia a pantalla completa. | Puntuada |
| Algoritmo de firma | Usa un algoritmo de firma moderno y no vulnerado (no el obsoleto SHA-1). | Puntuada |
| Fortaleza de la clave | Longitud de clave adecuada para que el cifrado no pueda romperse por fuerza bruta. | Puntuada |
| Versión de TLS | TLS moderno (1.2/1.3); las versiones antiguas están rotas y no superan las revisiones de seguridad. | Puntuada |
| Fortaleza del cifrado | Cifrado robusto que protege los datos en tránsito. | Puntuada |
| Compresión TLS | Compresión desactivada para evitar una clase de ataque conocida. | Informativa |
| OCSP stapling | Comprobaciones de revocación de certificados más rápidas y privadas. | Informativa |
| Renegociación segura | Protege frente a un ataque de renegociación de TLS. | Informativa |
Seguridad web
Las cabeceras HTTP que protegen los navegadores de tus visitantes frente a ataques comunes.
| Comprobación | Lo que significa para tu negocio | ¿Cuenta para tu nota? |
|---|---|---|
| HSTS | Fuerza el candado seguro en cada visita para que los clientes no puedan ser degradados a una conexión insegura. | Puntuada |
| Redirección HTTP→HTTPS | Envía a los visitantes que llegan por http directamente a la versión segura. | Puntuada |
| Content-Security-Policy | Reduce la posibilidad de que un script comprometido o inyectado robe datos de tus clientes desde tu sitio. | Puntuada |
| Protección contra clickjacking | Impide que los atacantes incrusten tu sitio para engañar a tus clientes y hacerles pulsar cosas. | Puntuada |
| Protección contra MIME-sniffing | Impide que los navegadores interpreten mal los archivos de formas que los atacantes puedan aprovechar. | Puntuada |
| Referrer-Policy | Controla qué información de dirección se filtra a otros sitios cuando los visitantes se marchan. | Puntuada |
| Cabeceras cross-origin (COOP/CORP/COEP) | Aislamiento avanzado que refuerza la protección frente a fugas de datos entre sitios. | Informativa |
Seguridad DNS
Si los cimientos de tu dominio pueden ser secuestrados o tumbados fuera de línea.
| Comprobación | Lo que significa para tu negocio | ¿Cuenta para tu nota? |
|---|---|---|
| Registros CAA | Impide que nadie salvo el proveedor que elijas emita certificados SSL para tu dominio. | Puntuada |
| DNSSEC (DS) | Impide que los atacantes secuestren tu dominio para enviar a los visitantes a una copia falsa de tu sitio. | Puntuada |
| DNSSEC (DNSKEY) | La clave de firma que hace que la protección DNSSEC realmente funcione. | Puntuada |
| Diversidad de servidores de nombres | Varios servidores de nombres independientes para que una sola caída no te deje fuera de línea. | Puntuada |
| Configuración SOA | Un registro DNS de "inicio de autoridad" correctamente configurado. | Puntuada |
| Compatibilidad con IPv6 | Accesible a través del protocolo de internet moderno. | Informativa |
Infraestructura
Contexto sobre dónde y cómo se aloja tu sitio (informativo — esto nunca cambia tu calificación).
| Comprobación | Lo que significa para tu negocio | ¿Cuenta para tu nota? |
|---|---|---|
| Detección de CDN / WAF | Si una red de distribución de contenidos / firewall de aplicaciones web protege tu sitio. | Informativa |
| Proveedor de alojamiento | Identifica dónde se aloja tu sitio. | Informativa |
¿Quieres ver cómo está tu propio dominio en las 34? Haz la comprobación gratuita → (privado; solo mostramos la calificación de un dominio a su propietario verificado).