Tabla de Contenidos

    Seguridad
    7 de junio de 2026

    7 herramientas gratis para auditar la seguridad de tu dominio (correo, DNS y SSL)

    Foto de Marco Orta Marco Orta | 10 min de lectura
    Compartir
    Panel de control con siete herramientas verificando SPF, DKIM, DMARC, WHOIS, DNSSEC y cabeceras de seguridad de un dominio

    La seguridad de tu dominio —que tus correos lleguen, que nadie te suplante y que tu web dé confianza— se puede auditar entera en unos 10 minutos con herramientas gratuitas, sin instalar nada ni crear una cuenta. Acabo de publicar siete en ortamarco.me y en esta guía te enseño a usarlas en orden.

    Si quieres el porqué a fondo de cada protocolo, lo tienes en mi guía de cómo auditar el correo y la seguridad de tu dominio paso a paso. Aquí vamos a lo práctico: qué herramienta abrir, qué te dice cada resultado y qué hacer con él.

    Todas funcionan en el navegador, no piden API key ni registro y no guardan lo que consultas.

    Empieza por aquí: el Auditor de Correo

    Si solo vas a usar una herramienta, que sea esta. El Auditor de Correo (SPF, DKIM, DMARC) revisa los tres protocolos de autenticación de una sola vez y te devuelve una calificación de la A a la F con una lista de recomendaciones priorizadas.

    Es la forma más rápida de saber si tu dominio está en riesgo. La nota se calcula sobre 100 penalizando lo que de verdad rompe la entregabilidad:

    NotaQué significa
    A–BDominio autenticado y protegido. Mantenimiento.
    C–DFunciona, pero le faltan piezas (típico: DMARC en p=none o sin DKIM detectable).
    FSin protección real: alto riesgo de spam y de suplantación.

    💡 Ejemplo real. Cuando lancé estas herramientas, las probé contra mi propio dominio… y ortamarco.me sacó una F (55/100): tenía SPF, pero le faltaba el registro DMARC. Publiqué un DMARC en p=none y subió a C (70/100) en minutos. La auditoría no es teoría: a casi todos los dominios les falta algo.

    Una vez tengas la nota general, usa las herramientas individuales para entrar en el detalle de lo que el auditor marcó en rojo.

    Comprobar SPF: ¿quién puede enviar en tu nombre?

    Comprobar SPF analiza el registro v=spf1 de tu dominio y detecta los dos problemas más comunes que el ojo no ve:

    • El calificador final. -all (hardfail) es lo ideal; ~all (softfail) es aceptable; ?all no protege y +all es un agujero de seguridad.
    • El límite de 10 búsquedas DNS. Esto es lo que casi nadie revisa: si encadenas demasiados include:, SPF supera el límite del RFC 7208 y deja de validar por completo (permerror). La herramienta cuenta las búsquedas de forma recursiva —entrando en cada include— y te avisa si te pasas.

    Si tienes dos registros v=spf1, también te lo marca: solo puede existir uno.

    Comprobar DMARC: la política que decide qué pasa

    Comprobar DMARC lee el registro de _dmarc.tudominio.com y te interpreta la política: si estás solo monitoreando (p=none), poniendo en cuarentena o rechazando, si recibes reportes (rua=) y si aplicas la política al 100% del correo.

    El error más habitual que descubre es quedarse para siempre en p=none. Esa política reporta pero no protege: cualquiera puede seguir suplantándote. La meta es subir por etapas hasta p=reject:

    p=none  →  p=quarantine  →  p=reject
(monitorea)   (a spam)       (bloquea)

    Empieza en none, lee los reportes una o dos semanas, autentica a todos tus proveedores de envío y solo entonces endurece. Saltar directo a reject bloquea tu propio correo.

    Comprobar DKIM: la firma criptográfica

    DKIM es el más esquivo de los tres, porque su clave vive bajo un selector que define tu proveedor y no se puede adivinar. Comprobar DKIM resuelve esto de dos formas:

    • Si conoces tu selector (te lo da tu proveedor: google, zmail, k1…), lo escribes y obtienes una respuesta definitiva.
    • Si no lo conoces, la herramienta prueba una lista de selectores comunes de los proveedores más usados.

    Ojo con esto: si la búsqueda automática no encuentra nada, no significa que no tengas DKIM —puede que uses un selector propio—. Por eso, ante la duda, pregúntale el selector a tu proveedor y compruébalo a mano.

    Más allá del correo: dominio, DNS y web

    La seguridad no termina en el email. Estas tres herramientas cubren el resto de la superficie.

    Consulta WHOIS: no dejes que tu dominio caduque

    Consulta WHOIS te muestra quién registró el dominio, cuándo expira, el registrador y los servidores DNS. El uso más valioso es defensivo: apunta la fecha de expiración en tu calendario. Cada año hay empresas que pierden su dominio —y con él su web y su correo— simplemente porque se les olvidó renovarlo.

    Comprobar DNSSEC: DNS a prueba de falsificación

    Comprobar DNSSEC verifica si tu dominio firma criptográficamente sus respuestas DNS. Sin DNSSEC, un atacante podría falsificar a dónde apunta tu dominio (envenenamiento de caché) y redirigir tu correo o tu web. La herramienta comprueba si existen los registros DS/DNSKEY y si la cadena de confianza valida de verdad. Si tu registrador lo soporta, activarlo es de las mejoras de seguridad con mejor relación esfuerzo/beneficio.

    Cabeceras de Seguridad HTTP: el blindaje del navegador

    Cabeceras de Seguridad analiza las cabeceras HTTP de tu web (HSTS, Content-Security-Policy, X-Frame-Options y más) y te da una calificación A–F con las que faltan. Son la primera línea de defensa contra clickjacking, inyección de contenido y ataques de degradación a HTTP. La mayoría de los sitios suspenden aquí sin saberlo.

    El orden recomendado: tu auditoría en 10 minutos

    Esta es la secuencia que sigo. Hazla de arriba a abajo:

    1. Auditor de Correo → tu nota general y la lista de qué arreglar.
    2. Comprobar SPF → un solo registro, terminado en -all, bajo 10 búsquedas.
    3. Comprobar DMARC → existe, con rua= a un buzón que lees, y con un plan para subir la política.
    4. Comprobar DKIM → la clave de tu selector resuelve.
    5. Consulta WHOIS → anota la fecha de expiración.
    6. Comprobar DNSSEC → actívalo si tu registrador lo permite.
    7. Cabeceras de Seguridad → sube la nota de tu web.

    Si los siete salen en verde, tu dominio está blindado. Si alguno falla, ya sabes exactamente qué pedirle a tu proveedor o a tu desarrollador. ¿Necesitas repasar qué es cada registro DNS antes de empezar? Tengo una guía sobre los tipos de registros DNS y cómo se propagan.

    Por qué importa en 2026

    Desde 2024, Google y Yahoo rechazan o mandan a spam el correo de los dominios que no se autentican, y en 2026 la exigencia es total para cualquiera que envíe correo. Una cotización que cae en spam es una venta perdida; un dominio suplantado es un problema de reputación. Lo bueno es que auditarlo —y arreglarlo— está al alcance de cualquiera con las herramientas correctas y diez minutos.

    Si haces la auditoría y algo no cuadra, o prefieres que alguien deje tu dominio, tu correo y tu sitio blindados de una vez, puedo ayudarte: échale un ojo a mi servicio de desarrollo web o, si lo tuyo es ordenar la infraestructura de tu operación, a los sistemas a medida.

    Preguntas frecuentes

    ¿Cuánto tardo en auditar mi dominio? Unos 10 minutos siguiendo el orden: primero el Auditor de Correo para la nota general, y luego los checkers individuales para el detalle.

    ¿Tengo que registrarme? No: son gratuitas, sin cuenta y sin API key, y no guardan lo que consultas.

    ¿Ya auditaste tu dominio? Cuéntame qué nota te salió en el Auditor de Correo.

    Etiquetas: Seguridad DNS Email SPF DKIM DMARC Herramientas
    Compartir

    Buscar

    Categorías

    Etiquetas

    Tecnologías

    Recursos relacionados

    HerramientaAuditor de Correo (SPF, DKIM, DMARC) HerramientaComprobar SPF HerramientaComprobar DMARC

    Posts relacionados

    Ver todos los posts...