Ir al contenido principal
Actualizado semanalmente · 2447 sitios

Benchmark de seguridad web en la UE

Escaneamos 2447 sitios web europeos cada semana — banca, farmacia, comercio electrónico, gobierno, tecnología. No se identifican sitios individuales. La pregunta no es quién falló, sino qué sectores están expuestos.

59.7/100

Puntuación media

47%

Correo falsificable

79%

Sin DNSSEC

63%

Cabeceras de seguridad ausentes

68.7/100

Puntuación de accesibilidad

5.3

Cookies pre-consentimiento media

¿Cómo se compara su sector?

Postura de seguridad por sector — ordenada por puntuación media. Haga clic en un sector para ver su desglose detallado.

Industria Sitios Puntuación Desprotegido Falsificable Inseguro Distribución de calificaciones
Pharma 46
55.9
57% 57% 7%
C
D
Technology 1005
57.5
68% 50% 10%
C
D
Media 390
58.4
75% 55% 3%
C
D
Salud 12
60.0
58% 67% 0%
B
C
D
E-Commerce 220
61.0
58% 38% 11%
C
D
Telecomunicaciones 52
61.2
67% 40% 4%
C
D
Automotive 45
61.5
53% 53% 4%
C
D
Banking 137
61.6
46% 38% 14%
C
D
Transporte 39
62.0
56% 33% 10%
B
C
D
Educación 140
63.0
66% 49% 1%
B
C
D
Government 133
63.0
47% 47% 5%
B
C
D
Insurance 47
64.7
38% 40% 13%
B
C
D
Inmobiliaria 17
64.9
53% 35% 6%
B
C
D
Energía 68
65.0
41% 37% 4%
B
C
D
Regulación 96
65.9
49% 28% 6%
B
C
D

Ordenado por puntuación media de seguridad (la más baja primero). Explicación de columnas: Sin protección = faltan 3+ encabezados HTTP críticos. Falsificable = DMARC ausente o débil. Inseguro = sin redirección HTTPS.

A B C D F

¿Cómo se compara su país?

Postura de seguridad por país — haga clic en un país para ver su desglose detallado.

🇦🇹

Austria

95 sitios

56.9 🇧🇪

Belgium

95 sitios

56.8 🇧🇬

Bulgaria

46 sitios

52.3 🇨🇭

Switzerland

95 sitios

62.7 🇨🇾

Cyprus

16 sitios

51.8 🇨🇿

Czech Republic

94 sitios

62.5 🇩🇪

Germany

241 sitios

63.4 🇩🇰

Denmark

92 sitios

62.0 🇪🇪

Estonia

48 sitios

63.7 🇪🇸

Spain

204 sitios

57.2 🇪🇺

European Union

18 sitios

63.7 🇫🇮

Finland

93 sitios

65.2 🇫🇷

France

228 sitios

61.8 🇬🇧

United Kingdom

64 sitios

61.2 🇬🇷

Greece

89 sitios

53.2 🇭🇷

Croatia

48 sitios

54.0 🇭🇺

Hungary

92 sitios

54.8 🇮🇪

Ireland

95 sitios

58.9 🇮🇸

Iceland

28 sitios

55.5 🇮🇹

Italy

193 sitios

56.7 🇱🇮

Liechtenstein

28 sitios

47.9 🇱🇹

Lithuania

48 sitios

51.8 🇱🇺

Luxembourg

43 sitios

57.5 🇱🇻

Latvia

43 sitios

52.4 🇲🇹

Malta

26 sitios

52.0 🇳🇱

Netherlands

145 sitios

69.4 🇳🇴

Norway

23 sitios

71.6 🇵🇱

Poland

37 sitios

60.3 🇵🇹

Portugal

17 sitios

60.7 🇷🇴

Romania

13 sitios

52.5 🇸🇪

Sweden

40 sitios

67.5 🇸🇮

Slovenia

4 sitios

54.5 🇸🇰

Slovakia

6 sitios

64.5

¿Dónde se sitúa su sitio web en este panorama?

Ejecute un análisis de seguridad gratuito — sin necesidad de cuenta. Vea su puntuación, calificación y cómo se compara con su sector.

Analice su sitio web ahora

Lo que encontramos

Las brechas de seguridad más comunes en 2447 sitios web europeos — y las normativas que infringen.

63%

Missing Security Headers

Visitors are exposed to clickjacking, XSS, and content injection because critical HTTP headers are missing.

NIS2 Art. 21

47%

Weak Email Authentication

Emails from these domains can be spoofed — invoices, password resets, anything. No DMARC enforcement.

NIS2 Art. 21 / DORA Art. 9

79%

Sin DNSSEC

DNS responses are unsigned. Attackers can redirect visitors to fake sites without detection.

NIS2 Art. 21
Mostrar todos los hallazgos
95%
No MTA-STS
Inbound emails can be downgraded to plaintext by an attacker — the server doesn't enforce TLS.
NIS2 Art. 21
11%
No SMTP Encryption
Email is transmitted in cleartext. Anyone on the network can read it.
GDPR Art. 32
80%
No security.txt
No public vulnerability disclosure contact — security researchers have nowhere to report issues.
CRA Art. 11
79%
No CAA Records
Any certificate authority can issue certificates for this domain — no restrictions.
NIS2 Art. 21
8%
No HTTPS Redirect
Visitors connect over unencrypted HTTP. Credentials and data are visible on the network.
GDPR Art. 32
92%
No DANE/TLSA
No certificate pinning for email transport — vulnerable to man-in-the-middle on SMTP.
NIS2 Art. 21

Accesibilidad, rendimiento y cumplimiento de cookies

Más allá de la seguridad — rendimiento de los sitios europeos en accesibilidad, Core Web Vitals y consentimiento de cookies.

Accesibilidad (WCAG 2.2)

782 sitios escaneados · EAA / BFSG

68.7

Puntuación media

4.5

Violaciones media

551

Críticos total

Automotive
72.0
Banking
70.7
E-Commerce
70.7
Educación
80.0
Energía
69.2
Government
78.5
Salud
78.5
Insurance
68.8
Media
58.8
Pharma
62.4
Inmobiliaria
64.2
Regulación
68.8
Technology
67.7
Telecomunicaciones
66.1
Transporte
76.5

Cumplimiento de cookies

782 sitios escaneados · ePrivacy / TTDSG

5.3

Pre-consentimiento media

289

Sin banner

267

Sin rechazar

Automotive
3.0
Banking
5.4
E-Commerce
5.6
Educación
4.0
Energía
5.8
Government
2.4
Salud
1.5
Insurance
7.6
Media
7.2
Pharma
5.3
Inmobiliaria
2.2
Regulación
2.2
Technology
4.6
Telecomunicaciones
9.7
Transporte
3.9

Core Web Vitals

759 sitios escaneados

84.3

Puntuación perf.

1.5s

LCP

0.076

CLS

1.1s

FCP

770.0ms

TBT

0ms

TTFB

Automotive
86.3
Banking
81.6
E-Commerce
84.9
Educación
78.0
Energía
83.3
Government
91.5
Salud
85.5
Insurance
82.0
Media
79.6
Pharma
82.5
Inmobiliaria
86.1
Regulación
94.7
Technology
84.9
Telecomunicaciones
78.8
Transporte
86.1

Metodología y puntuación

Cómo escaneamos, qué medimos, cómo se calculan las puntuaciones.

Cada sitio se analiza semanalmente en estas dimensiones de seguridad. Las puntuaciones se calculan en una escala de 100 puntos.

Cabeceras de seguridad 25 pts

HSTS, CSP, X-Frame-Options, X-Content-Type, Referrer-Policy, Permissions-Policy

Certificado 20 pts

Key strength, signature algorithm, chain depth, TLS version, forward secrecy

Sin aplicación de HTTPS 10 pts

HTTP-to-HTTPS redirect for all visitors

Autenticación 15 pts

SPF, DKIM (key strength), DMARC (policy enforcement)

Seguridad DNS 15 pts

DNSSEC signing, CAA records, DoH consistency, DANE/TLSA

security.txt 5 pts

Vulnerability disclosure contact per RFC 9116

MTA-STS 3 pts

Inbound email TLS enforcement (enforce vs. testing mode)

TLS-RPT 2 pts

SMTP TLS failure reporting endpoint

Privacidad del servidor 5 pts

No server version disclosure, no X-Powered-By, restricted CORS

Datos basados en análisis semanales automatizados de sitios web de acceso público.Datos basados en análisis semanales automatizados de sitios web accesibles públicamente.

No se revelan nombres de sitios individuales. Todas las estadísticas están anonimizadas por industria.

Las referencias normativas indican qué requisitos se relacionan con cada hallazgo. No afirman el incumplimiento de ninguna organización específica.

Sus competidores están en estos datos. ¿Es usted mejor o peor?

Ejecute un análisis de seguridad gratuito y vea su puntuación, su calificación y cómo se compara — en 30 segundos, sin necesidad de cuenta.

Analice su sitio web ahora Conozca SiteGuardian

Estos datos también están disponibles como JSON a través de la API de Benchmark.