Ir al contenido principal
Actualizado semanalmente · 985 sitios

Benchmark de seguridad web en la UE

Escaneamos 985 sitios web europeos cada semana — banca, farmacia, comercio electrónico, gobierno, tecnología. No se identifican sitios individuales. La pregunta no es quién falló, sino qué sectores están expuestos.

57.8/100

Puntuación media

53%

Correo falsificable

78%

Sin DNSSEC

56%

Cabeceras de seguridad ausentes

¿Cómo se compara su sector?

Postura de seguridad por sector — ordenada por puntuación media. Haga clic en un sector para ver su desglose detallado.

Industria Sitios Puntuación Desprotegido Falsificable Inseguro Distribución de calificaciones
Pharma 39
49.1
54% 87% 13%
C
D
F
Automotive 19
51.8
58% 68% 21%
B
C
D
F
Media 140
54.7
71% 70% 11%
C
D
Banking 120
54.9
53% 56% 28%
C
D
F
E-Commerce 175
54.9
59% 61% 25%
C
D
F
Government 95
58.1
48% 61% 19%
C
D
F
Insurance 42
61.2
43% 45% 24%
B
C
D
F
Technology 265
61.9
52% 37% 14%
B
C
D
Regulación 90
63.5
51% 28% 13%
B
C
D

Ordenado por puntuación media de seguridad (la más baja primero). Explicación de columnas: Sin protección = faltan 3+ encabezados HTTP críticos. Falsificable = DMARC ausente o débil. Inseguro = sin redirección HTTPS.

A B C D F

¿Dónde se sitúa su sitio web en este panorama?

Ejecute un análisis de seguridad gratuito — sin necesidad de cuenta. Vea su puntuación, calificación y cómo se compara con su sector.

Analice su sitio web ahora

Lo que encontramos

Las brechas de seguridad más comunes en 985 sitios web europeos — y las normativas que infringen.

56%

Missing Security Headers

Visitors are exposed to clickjacking, XSS, and content injection because critical HTTP headers are missing.

NIS2 Art. 21

53%

Weak Email Authentication

Emails from these domains can be spoofed — invoices, password resets, anything. No DMARC enforcement.

NIS2 Art. 21 / DORA Art. 9

78%

Sin DNSSEC

DNS responses are unsigned. Attackers can redirect visitors to fake sites without detection.

NIS2 Art. 21
Mostrar todos los hallazgos
92%
No MTA-STS
Inbound emails can be downgraded to plaintext by an attacker — the server doesn't enforce TLS.
NIS2 Art. 21
9%
No SMTP Encryption
Email is transmitted in cleartext. Anyone on the network can read it.
GDPR Art. 32
74%
No security.txt
No public vulnerability disclosure contact — security researchers have nowhere to report issues.
CRA Art. 11
81%
No CAA Records
Any certificate authority can issue certificates for this domain — no restrictions.
NIS2 Art. 21
18%
No HTTPS Redirect
Visitors connect over unencrypted HTTP. Credentials and data are visible on the network.
GDPR Art. 32
93%
No DANE/TLSA
No certificate pinning for email transport — vulnerable to man-in-the-middle on SMTP.
NIS2 Art. 21

Metodología y puntuación

Cómo escaneamos, qué medimos, cómo se calculan las puntuaciones.

Cada sitio se analiza semanalmente en estas dimensiones de seguridad. Las puntuaciones se calculan en una escala de 100 puntos.

Cabeceras de seguridad 25 pts

HSTS, CSP, X-Frame-Options, X-Content-Type, Referrer-Policy, Permissions-Policy

Certificado 20 pts

Key strength, signature algorithm, chain depth, TLS version, forward secrecy

Sin aplicación de HTTPS 10 pts

HTTP-to-HTTPS redirect for all visitors

Autenticación 15 pts

SPF, DKIM (key strength), DMARC (policy enforcement)

Seguridad DNS 15 pts

DNSSEC signing, CAA records, DoH consistency, DANE/TLSA

security.txt 5 pts

Vulnerability disclosure contact per RFC 9116

MTA-STS 3 pts

Inbound email TLS enforcement (enforce vs. testing mode)

TLS-RPT 2 pts

SMTP TLS failure reporting endpoint

Privacidad del servidor 5 pts

No server version disclosure, no X-Powered-By, restricted CORS

Datos basados en análisis semanales automatizados de sitios web de acceso público.Datos basados en análisis semanales automatizados de sitios web accesibles públicamente.

No se revelan nombres de sitios individuales. Todas las estadísticas están anonimizadas por industria.

Las referencias normativas indican qué requisitos se relacionan con cada hallazgo. No afirman el incumplimiento de ninguna organización específica.

Sus competidores están en estos datos. ¿Es usted mejor o peor?

Ejecute un análisis de seguridad gratuito y vea su puntuación, su calificación y cómo se compara — en 30 segundos, sin necesidad de cuenta.

Analice su sitio web ahora Conozca SiteGuardian

Estos datos también están disponibles como JSON a través de la API de Benchmark.