Ir al contenido principal
814856 sitios analizados

Estado de la seguridad web en la UE

Un análisis técnico en profundidad de 814856 sitios web europeos. Configuración TLS, autenticación de correo, cabeceras de seguridad y seguridad DNS — medido, no estimado.

91.8%

TLS 1.3

7.8%

DMARC reject

20%

HSTS

8%

CSP

15%

DNSSEC

44%

HTTPS

18%

Compatible con IPv6

8%

HTTP/3

88%

Redundancia NS

0%

sec.txt CRA

11%

Contenido mixto

5%

Reporte CSP

En este informe

TLS & Certificates Cabeceras de seguridad Seguridad del correo Seguridad DNS

Más informes

Informe de privacidad Informe de accesibilidad Informe tecnológico

TLS & Certificates

806213 sitios analizados

TLS encrypts data in transit. TLS 1.3 is the current standard — older versions have known vulnerabilities. Required by GDPR Art. 32 (encryption of personal data), NIS2 Art. 21 (state of the art security measures), and PCI DSS 4.0 (TLS 1.2+ mandatory since March 2025).

TLS Version Distribution

TLSv1.3
91.8%
TLSv1.2
8.1%
Unknown
0.1%

Certificate Features

39%

Secreto perfecto

100%

Transparencia de certificados

34%

OCSP Stapling

32%

Wildcard Certs

0%

Deprecated TLS

HTTP Security Headers

861108 sitios analizados

HTTP security headers instruct browsers to enable protections like XSS filtering, clickjacking prevention, and content type enforcement. OWASP recommends all six headers. NIS2 Art. 21 and ISO 27001 A.8.9 require appropriate technical measures — missing headers indicate gaps.

Header Adoption Rates

Strict-Transport-Security (HSTS)
20%
X-Content-Type-Options
20%
X-Frame-Options
14%
Referrer-Policy
9%
Content-Security-Policy (CSP)
8%
Permissions-Policy
5%

44%

Redirección HTTPS

5%

HSTS Preload Ready

2%

security.txt

78%

Open CORS

2%

HSTS < 6 months

1%

Unsafe Referrer-Policy

1%

COOP Enabled

6%

Server Misconfigs

Seguridad del correo

843288 sitios analizados

SPF, DKIM, and DMARC prevent email spoofing and phishing. Without DMARC enforcement, attackers can send emails that appear to come from your domain. Required by NIS2 Art. 21 (supply chain security), DORA Art. 9 (ICT risk management), and BSI IT-Grundschutz APP.5.3.

DMARC Policy Distribution

24.8%
60.8%
Reject 7.8% Quarantine 6.6% None (monitor only) 24.8% Sin DMARC 60.8%

Autenticación de correo

68%

SPF

27%

DKIM

39%

DMARC

36%

STARTTLS

36%

Modern SMTP TLS

0%

En lista negra

DKIM Key Size Distribution

1024-bit 24.8%
1048-bit 0.0%
1148-bit 0.0%
2024-bit 0.0%
2048-bit 75.0%
3072-bit 0.0%
384-bit 0.0%
4096-bit 0.1%
512-bit 0.0%
768-bit 0.1%
8192-bit 0.0%

Email Spoofability by Industry

Percentage of sites without effective DMARC policy (spoofable via email)

Alimentación
89% 235964
Hostelería
88% 113533
Beauty
88% 31136
Pets
87% 3558
Deportes
86% 47445
Culture
86% 30595
Viajes
86% 23864
Automoción
85% 37527
Moda
85% 29125
Home Garden
85% 27884
Inmobiliaria
85% 12235
Educación
84% 99774
Sanidad
84% 53001
Construction
84% 14010
Ngo
84% 12075
Farmacéutica
82% 14518
Professional Services
80% 15983
Tech
73% 18301
Medios
72% 4159
Ecommerce
57% 4527

Seguridad DNS

861418 sitios analizados

DNS security features protect against cache poisoning, domain hijacking, and man-in-the-middle attacks. DNSSEC is recommended by ENISA and required under NIS2 for essential entities. CAA prevents unauthorized certificate issuance (RFC 8659). MTA-STS enforces TLS for inbound email.

DNSSEC Signing
15%
DANE/TLSA
6%
Registros CAA
3%
TLS-RPT
1%
MTA-STS
0%
BIMI
0%

MTA-STS Mode Breakdown

enforce (2346)
testing (1003)
unknown (638)
none (86)

Zone Transfer (AXFR) open on 1% of domains — full DNS zone data is publicly accessible.

Metodología

Cómo se recopilaron estos datos y qué representan.

Todos los datos se recopilan mediante análisis automatizados y no intrusivos de sitios web de acceso público. No se utilizan credenciales de inicio de sesión, no se envían formularios y no se accede a datos privados.

Los sitios se analizan en múltiples dimensiones: cabeceras HTTP, certificados TLS, registros DNS y autenticación de correo (SPF/DKIM/DMARC). Los datos de privacidad, accesibilidad y tecnología están disponibles en informes dedicados.

No se nombran sitios individuales. Todas las estadísticas son agregadas y anonimizadas. Las referencias normativas indican qué requisitos se relacionan con cada hallazgo — no afirman el incumplimiento de ninguna organización específica.

¿Cómo se sitúa tu sitio web?

Ejecuta un análisis de seguridad gratuito y comprueba cómo te comparas — TLS, cabeceras, correo, DNS — en 30 segundos, sin necesidad de cuenta.

Escanee su sitio ahora Benchmark sectorial

Basado en análisis automatizados de 814856 sitios web europeos. Actualizado continuamente.