Qué deja tu web expuesta (y cómo verlo tú mismo en 2 minutos)
Las puertas que la mayoría de webs dejan abiertas sin saberlo, por qué le cuestan dinero y visitas al dueño, y cómo comprobar el estado de la tuya sin ser técnico.
La mayoría de las webs que revisamos no las ha hackeado nadie. Simplemente están expuestas: tienen puertas abiertas que su dueño no ve, porque nadie le dijo que existían. No hace falta un ataque sofisticado para tener un problema; basta con que algo lleve meses desactualizado y que el día menos pensado un bot automático lo encuentre.
Esto no es alarmismo. Es la diferencia entre una web que funciona y una web que aguanta. Y casi siempre se puede ver desde fuera, sin tocar nada. Aquí van las exposiciones más comunes, qué significan para tu negocio y cómo comprobarlas tú mismo.
1. Cualquiera puede enviar correos en tu nombre
Tu empresa tiene un dominio —tuempresa.es— y desde él salen tus correos. Lo que casi nadie configura son los tres registros (se llaman SPF, DKIM y DMARC) que le dicen al mundo qué servidores tienen permiso para enviar correo en tu nombre. Sin ellos, cualquiera puede mandar un email que aparece como [email protected] y llega limpio a la bandeja de entrada: la de tus empleados, la de tus clientes, la de tus proveedores.
Esto no es teoría. Es la base de los fraudes que más golpean a la pyme española: el “fraude del CEO” (un correo que parece de dirección pidiendo una transferencia urgente) y la factura falsa (un proveedor suplantado que pide cobrar en otra cuenta). Funcionan porque el correo parece legítimo —y, técnicamente, tu dominio no ha dicho en ningún sitio que no lo sea.
Qué significa para ti: no hace falta que te ataquen a ti directamente; basta con que usen tu nombre para engañar a otros. Un cliente que recibe una factura falsa “tuya” pierde dinero y confianza, y la culpa, justa o no, te salpica. Configurar esos registros es gratis y cierra la puerta de golpe.
Cómo verlo: esto no se ve en el navegador, pero se comprueba en segundos sin tocar nada. Busca en Google “comprobar DMARC”, escribe tu dominio y mira si aparece una política configurada. Si sale vacío o pone “none”, tu nombre está disponible para quien quiera usarlo.
2. La web dice más de lo que debería
Muchas webs anuncian a gritos qué tecnología usan y qué versión: “WordPress 5.8”, “PHP 7.2”, el nombre del servidor, los plugins instalados. Esto lo lee cualquiera en segundos. Y aquí está el problema: si esa versión tiene un fallo conocido y publicado, le has dado a un atacante el mapa y la llave a la vez.
Los ataques reales no son señores con capucha eligiéndote a ti. Son bots que recorren internet probando millones de webs, buscando exactamente esas versiones viejas con fallos conocidos. No te eligen: te encuentran.
Qué significa para ti: una web desactualizada no es un riesgo “por si acaso”; es un riesgo estadístico y constante. Cuanto más tiempo pasa sin actualizar, más probable es que un bot dé con la combinación que abre tu puerta. Y cuando entra, lo habitual no es un destrozo visible: es inyectar spam, redirigir a tus visitantes a otra parte o robar datos en silencio durante semanas.
3. Faltan las instrucciones de seguridad para el navegador
Una web moderna puede darle instrucciones al navegador del visitante: “no permitas que me carguen dentro de otra web”, “obliga siempre a usar la conexión segura”, “no dejes ejecutar scripts que yo no haya autorizado”. Son las cabeceras de seguridad, y son gratis: no cuestan rendimiento, no se ven, pero cierran familias enteras de ataques de golpe.
La inmensa mayoría de webs no las tiene puestas. No porque sean difíciles, sino porque nadie se encargó.
Qué significa para ti: sin ellas, tu web es vulnerable a que la “secuestren” visualmente (mostrar tu marca dentro de una estafa), a que inyecten contenido o a robar la sesión de tus usuarios. Con ellas, muchos de esos ataques dejan de ser posibles. Es la diferencia entre dejar la llave puesta y echar el cerrojo.
4. Lenta también es una forma de estar expuesta
Esto sorprende a mucha gente, pero la velocidad es seguridad de negocio. Una web que tarda más de 3 segundos en mostrarse pierde visitantes antes de que lleguen a ver lo que vendes. Google lo mide (se llaman Core Web Vitals) y lo usa para decidir tu posición en los resultados.
Qué significa para ti: no es vanidad técnica. Cada segundo de más es gente que se va, carritos que se abandonan y posiciones que pierdes frente a un competidor más rápido. Una web lenta te cuesta dinero todos los días, lo veas o no.
5. ¿Y si pasa algo? La pregunta que casi nadie sabe responder
La última exposición no se ve desde fuera, pero es la más importante: ¿cuándo se hizo la última copia de tu web y has comprobado alguna vez que se puede restaurar?
Una copia de seguridad que nadie ha probado a restaurar no es una copia: es una esperanza. El día que algo falla —un plugin que rompe la web, un ataque, un error humano— la diferencia entre “lo arreglamos en una hora” y “perdimos dos semanas de trabajo” es exactamente esa.
Cómo saber en qué punto estás
Las cuatro primeras exposiciones se pueden medir desde fuera, sin acceso a tu web y sin instalar nada. Por eso construimos Analiza tu web: metes tu dirección y te dice, en lenguaje claro, cómo está de rápida, de accesible y de cuidada — con los números reales debajo por si quieres verificarlo.
No es un sustituto de una auditoría a fondo, pero te da una foto honesta en dos minutos. Si algo sale en rojo, no significa que estés hackeado; significa que hay una puerta que conviene cerrar antes de que alguien la pruebe.
Y si prefieres que lo miremos nosotros y te digamos qué cerrar primero, cuéntanos tu web. La primera revisión es sin compromiso: te decimos cómo está y qué haríamos, sin tecnicismos y sin sustos.