Datos del SiteGuardian EU Web Security Benchmark — abril de 2026, 704.044 sitios web evaluados en 30 países.
El 94,8% suspende
Hemos analizado 704.044 sitios web europeos de forma automatizada, en seis dimensiones: cabeceras de seguridad HTTP, configuración TLS, seguridad DNS, autenticación de correo electrónico, accesibilidad y cumplimiento de cookies.
Los resultados:
| Calificación | Porcentaje |
|---|---|
| A | 0,0% (16 sitios web) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
No se trata de sitios marginales. El benchmark incluye empresas, organismos gubernamentales, hospitales, bancos y plataformas de comercio electrónico de toda la UE — organizaciones sujetas a NIS2, DORA o el RGPD que procesan datos personales a diario.
El marco regulatorio: lo que exige la UE
En los últimos tres años, la UE ha construido un marco normativo que convierte la seguridad web de algo deseable en una obligación legal. Tres regulaciones destacan:
NIS2 (Directiva 2022/2555) — con transposición nacional prevista desde octubre de 2024. El artículo 21(2) exige a las entidades esenciales e importantes implementar medidas concretas: criptografía, respuesta a incidentes, seguridad de la cadena de suministro y — en el apartado (e) — gestión y divulgación de vulnerabilidades. Los sectores cubiertos incluyen energía, transporte, sanidad, infraestructura digital, fabricación, alimentación, servicios postales y proveedores digitales. Sanciones: hasta 10 millones de euros o el 2% de la facturación global anual.
DORA (Reglamento 2022/2554) — en vigor desde enero de 2025 para el sector financiero. Los artículos 6-8 exigen una gestión del riesgo TIC que incluya la identificación y remediación de vulnerabilidades. Las entidades afectadas incluyen bancos, aseguradoras, empresas de inversión, proveedores de servicios de criptoactivos y sus proveedores TIC críticos.
Ley de Ciberresiliencia (Reglamento 2024/2847) — notificación obligatoria de vulnerabilidades activamente explotadas desde septiembre de 2026 (Art. 11), divulgación coordinada de vulnerabilidades desde diciembre de 2027 (Art. 14). Se aplica a fabricantes, importadores y distribuidores de productos digitales. Sanciones: hasta 15 millones de euros o el 2,5% de la facturación.
Los requisitos están en vigor. ¿Cómo es la realidad?
Cabeceras de seguridad HTTP: falta la primera línea de defensa
Las cabeceras de seguridad son instrucciones del servidor que protegen al navegador contra cross-site scripting, clickjacking, confusión MIME y ataques de degradación. No cuestan nada, normalmente requieren una sola línea de configuración, y sin embargo apenas se adoptan:
| Cabecera | Adopción | Qué protege |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Evita la degradación a HTTP |
| X-Content-Type-Options | 27,7% | Bloquea MIME sniffing |
| X-Frame-Options | 19,2% | Previene clickjacking |
| Referrer-Policy | 13,1% | Controla fugas de referrer |
| Content-Security-Policy (CSP) | 10,8% | Mitiga XSS e inyección |
| Permissions-Policy | 6,4% | Restringe APIs del navegador |
Tres de cada cuatro sitios web permiten conexiones sin cifrar, aunque dispongan de un certificado TLS — falta HSTS. El 24,3% ni siquiera redirige a HTTPS automáticamente.
Content Security Policy — la defensa más eficaz contra ataques XSS — está ausente en el 89% de los sitios web.
Seguridad del correo electrónico: phishing fácil
El phishing y el Business Email Compromise son los vectores de ataque más habituales en Europa. Las contramedidas técnicas existen desde hace años — y siguen sin desplegarse:
| Estándar | Adopción | Función |
|---|---|---|
| SPF | 75,7% | Verificación del remitente |
| STARTTLS | 56,3% | Cifrado del transporte |
| DMARC | 46,8% | Aplicación de políticas |
| DKIM | 31,1% | Integridad del mensaje |
| MTA-STS | 0,5% | Cifrado de transporte obligatorio |
SPF solo no es suficiente. Sin DMARC configurado en reject o quarantine, cualquiera puede enviar correos en nombre de tu dominio. Del 46,8% que tiene DMARC, el 63% establece la política en none — es decir, sin aplicación. El dominio sigue siendo suplantable.
Las configuraciones erróneas que encontramos son especialmente reveladoras. Vemos políticas DMARC como quarantaine, rejet, keiner, brak (polaco para "falta"), beleidsnaam (neerlandés para "nombre de política") — y un sitio web que pegó su clave RSA completa en el campo de política. Estos errores de configuración son difíciles de detectar: el registro existe, la casilla de cumplimiento está marcada, pero la protección no funciona. Esta es exactamente la brecha entre "configurado" y "efectivo" que SiteGuardian fue creado para cerrar: comprobaciones automatizadas que verifican no solo la presencia, sino el correcto funcionamiento de cada medida.
DNS: la base está desprotegida
| Estándar | Adopción | Función |
|---|---|---|
| DNSSEC | 15,8% | Protección contra DNS spoofing |
| CAA | 3,0% | Control sobre la emisión de certificados |
| MTA-STS | 0,5% | Cifrado obligatorio del correo |
| DANE/TLSA | <1% | Fijación de certificados para SMTP |
El 84% de los dominios europeos no tiene protección DNSSEC. Un atacante capaz de manipular respuestas DNS puede redirigir a los usuarios a sitios fraudulentos — con un certificado TLS válido, si ningún registro CAA restringe la emisión. El 97% no tiene ninguno.
El indicador security.txt
El RFC 9116 define un archivo de texto simple en /.well-known/security.txt que proporciona a los investigadores de seguridad un canal de reporte estandarizado. ENISA lo recomienda como buena práctica, NIS2 exige la divulgación de vulnerabilidades, y la Ley de Ciberresiliencia hace obligatoria la divulgación coordinada.
Tasa de adopción en la UE: 2,8%.
El hallazgo interesante: security.txt correlaciona fuertemente con la madurez general del sitio web.
| Métrica | CON security.txt | SIN | Factor |
|---|---|---|---|
| Puntuación compuesta | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8x |
| Content Security Policy | 47% | 10% | 4,7x |
| Calificación F | 6% | 44% | 7x menos |
security.txt no es una solución mágica. Quienes se toman el tiempo de configurarlo, normalmente también se han ocupado de todo lo demás. Es un indicador de madurez en seguridad — si falta, normalmente falta todo lo demás.
La situación en Europa: el ranking por países
| Posición | País | Puntuación | Cantidad |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | Islandia | 45 | 928 |
| 3 | Alemania | 45 | 203.075 |
| 4 | Reino Unido | 44 | 73.769 |
| 5 | Luxemburgo | 44 | 1.303 |
| 6 | Suiza | 43 | 26.248 |
| 7 | Noruega | 43 | 8.814 |
| 8 | Países Bajos | 43 | 37.893 |
| ... | |||
| 26 | España | 39 | 26.214 |
| 27 | Austria | 39 | 30.804 |
| 28 | Hungría | 38 | 6.886 |
| 29 | Lituania | 38 | 3.539 |
| 30 | Polonia | 37 | 30.694 |
Alemania lidera entre los grandes estados miembros de la UE — pero con 45 de 100 puntos. El mejor de un mal grupo. La diferencia entre el puesto 1 y el 30 es de solo 9 puntos. Europa no tiene un país que marque el estándar. Tiene un déficit continental.
Qué deben hacer los CISO ahora
1. Mida su punto de partida. No se puede gestionar lo que no se mide. Analice sus dominios — de forma automatizada, regular, en las seis dimensiones.
2. Active las cabeceras de seguridad. HSTS, CSP, X-Content-Type-Options — tres cabeceras que mitigan la mayoría de los ataques web comunes. La mayoría de los frameworks web pueden añadirlas con una sola línea de configuración.
3. Configure DMARC en reject. Comience con quarantine y pct=10, supervise los informes, y luego escale a reject. policy=none no protege a nadie.
4. Active DNSSEC. Hable con su proveedor DNS. La mayoría de los grandes proveedores lo soportan — solo hay que activarlo.
5. Configure security.txt. Cinco minutos de esfuerzo, RFC 9116. Dos campos obligatorios: Contact y Expires. ENISA lo considera una buena práctica, y el Art. 21(2)(e) de NIS2 exige la divulgación de vulnerabilidades.
6. No analice solo la página principal. Subdominios, APIs, servidores de correo — la superficie de ataque es mayor que la página principal. Un benchmark automatizado descubre sistemáticamente lo que las auditorías manuales pasan por alto.
Metodología
Este artículo se basa en el SiteGuardian EU Web Security Benchmark que cubre 704.044 sitios web en 30 países europeos (datos de abril de 2026). El benchmark evalúa seis dimensiones: cabeceras de seguridad HTTP, certificados TLS, seguridad DNS (DNSSEC, CAA, DANE, MTA-STS), autenticación de correo electrónico (SPF, DKIM, DMARC, STARTTLS), accesibilidad (WCAG 2.2 AA) y cumplimiento de cookies. Todos los análisis se ejecutan de forma automatizada y continua, sin selección manual ni patrocinio.
El benchmark es accesible gratuitamente en siteguardian.io/benchmark.
SiteGuardian es una herramienta de cumplimiento y monitorización de seguridad web con sede en la UE, desarrollada en Alemania.