Descargo de responsabilidad: El original de esta página está escrito en neerlandés. Esta página se ha traducido automáticamente a otros idiomas utilizando DeepL. Esto puede dar lugar a diferencias de matiz, tono y significado. En caso de duda, consulta siempre primero la versión neerlandesa. Debido al elevado coste de las traducciones, esta página puede ir por detrás de la versión neerlandesa en cuanto a contenido. Consideramos que la versión neerlandesa de esta página es la principal.
0: Resumen
Tu organización recibió un correo electrónico el 9 o 10 de febrero sobre la transparencia de la seguridad en línea de las administraciones públicas. Este correo procedía de la Internet Cleanup Foundation y se envió a todos los gobiernos regionales y organizaciones CERT / CISRT de todos los estados miembros europeos.
A partir del 10 de mayo, la seguridad en línea de tu organización se hará pública en el sitio web SecurityBaseline.eu. Del 10 de febrero al 10 de mayo, este sitio web estará disponible a través del enlace directo que figura en el correo electrónico recibido. De ese modo, se podrán ver los resultados de la medición para que aún se puedan introducir mejoras antes de su publicación. Medimos tu seguridad en línea de diaria a semanalmente para que también puedan verse las mejoras. Seguimos midiendo, incluso después de la publicación.
Los servicios medidos y la información publicada están cuidadosamente estudiados y no añaden nuevos riesgos a tus entornos en línea. Nuestro enfoque hace que tus entornos sean más transparentes, haciéndolos más manejables y, por tanto, más seguros. Lo hacemos por iniciativa propia, desde una fundación sin ánimo de lucro, en nuestro tiempo libre. Como ciudadanos europeos, estamos intrínsecamente motivados para desempeñar nuestro papel en la creación de una Europa en línea segura, soberana y respetuosa con la privacidad, y tenemos una amplia experiencia en ello.
La iniciativa para medir Europa reproduce nuestro enfoque para medir la seguridad en línea de organizaciones clave en Holanda. La pusimos en marcha en 2016. Ha tenido tanto éxito y ha resultado tan práctica que nuestro sitio web y nuestras actividades se han incluido en documentos políticos del Ministerio holand és de Seguridad y Justicia y del Ministerio holandés del Interior y Relaciones del Reino.
Con la creciente digitalización de los gobiernos y el reciente aumento de la presión sobre la soberanía de los gobiernos en línea, decidimos empezar a medir a todos los gobiernos de Europa. Medimos los gobiernos como primer sector por países, porque son capaces de establecer directrices y leyes para sí mismos y para los demás.
En esta página encontrarás amplia información sobre nosotros y esta iniciativa. La Fundación para la Limpieza de Internet desea a todos una Europa en línea segura.
Elger Jonker, Johan Bloemberg, Wouter Goyen
Índice
- ¿Qué ocurrirá?
- Estudio de caso: Países Bajos medidos desde 2016
- Calendario de lectura, publicación y alcance
- Política de la Fundación para la Limpieza de Internet
- Accesibilidad
- ¿Cómo surgieron los mapas y los anuncios?
- Resumen financiero
1: Lo que va a ocurrir
A partir del 10 de mayo, la seguridad básica en línea de tu organización se publicará en https://securitybaseline.eu. La información publicada puede contener vulnerabilidades en tu infraestructura en línea, pero no aumenta el riesgo existente. Hasta su publicación, puedes acceder a tus vulnerabilidades utilizando los enlaces que recibiste en ese correo electrónico.
Hay tres meses entre el 10 de febrero y el 10 de mayo. Llamamos a estos tres meses el periodo previo. Este periodo está en consonancia con el marco temporal común dentro de las directrices de «Divulgación Coordinada de Vulnerabilidades» de varios estados miembros europeos. En principio, todo lo que medimos y publicamos ya es información pública. Así que no utilizamos este periodo para cumplir el proceso de Divulgación Coordinada de Vulnerabilidades, sino para aprovechar las vías y procesos existentes en los estados miembros europeos que se han creado para reforzar la seguridad de la información.
En nuestro sitio web, verás mapas de los distintos niveles de tu gobierno. En estos mapas, la seguridad se indica con el color de un semáforo: rojo, naranja y verde. El verde significa que todo está en orden y el rojo que hay una o más vulnerabilidades. El naranja requiere una actuación, pero menos rápida que el rojo. El ejemplo de estudio de caso de Holanda, más abajo en esta página, muestra cómo lo está haciendo Holanda. Este mapa ya es de dominio público, pues ha sido información pública durante muchos años.
Somos conscientes de que nuestro planteamiento puede suscitar preguntas o no ser percibido inmediatamente como agradable o valioso. También somos conscientes de que las culturas varían mucho entre los distintos países europeos. Nuestro objetivo es hacer una Europa en línea más resistente. La transparencia es un medio adecuado para ese fin. Suponemos que el gobierno quiere proteger bien a los ciudadanos europeos. Esto debería traducirse en servicios en línea de alta calidad. Esto es precisamente lo que ofrecemos, que se puede medir y verificar de forma independiente.
2: Estudio de caso: Países Bajos medidos desde 2016
Empezamos a medir los principales sitios web de los municipios holandeses en 2016. Con los años, esto se ha ampliado a todos los sitios web de todos los gobiernos holandeses. También realizamos las mismas mediciones en todas las instituciones educativas, sanitarias y de infraestructuras críticas de Holanda. Estos datos son públicos para todo el mundo. Se trata de unas 330.000 direcciones de 10.000 organizaciones medidas en 25 conclusiones. Esta información puede ser consultada por cualquiera.
En Holanda, nuestra iniciativa ha dado lugar a cientos de miles de mejoras en la seguridad de la información. Utilizando mediciones punteras, de la talla de internet.nl y nuestras propias mediciones de privacidad, llevamos años ayudando al país en el que vivimos a ser y mantenerse seguro.
Este éxito es también la razón por la que Holanda es el único país que ya aparece públicamente en SecurityBaseline.eu: de hecho, casi todas las organizaciones ya puntúan en verde, cuando en el mismo ámbito y mediciones casi todas las demás organizaciones gubernamentales europeas siguen puntuando insuficientemente seguras. Así que Holanda ya va muchos años por delante del resto de Europa. Esto no se debe sólo a nosotros, sino también a la adopción y dirección de normas por parte del gobierno y a contar con legislación para la encriptación, por ejemplo.
El gobierno holandés tiene una cultura abierta. Esta cultura también está consagrada en la legislación mediante la«Ley de Gobierno Abierto«: ésta otorga a todos los ciudadanos el derecho a acceder a la información pública sin tener que cumplir ninguna condición. Por tanto, el gobierno holandés quiere ser transparente y, por ello, es accesible. El gobierno se atreve a indicar dónde se necesitan mejoras, por lo que nuestra iniciativa de medir al gobierno holandés también ha sido bien recibida.
Nuestro sitio web y nuestras actividades aparecen en documentos políticos del Ministerio holandés de Seguridad y Justicia y del Ministerio del Interior y Relaciones del Reino.
En Holanda también realizamos todo tipo de investigaciones. Por ejemplo, hemos hecho los siguientes descubrimientos, los artículos están en neerlandés:
- El gobierno holandés pasa por alto muchos miles de sitios en sus resúmenes (2025)
- El gobierno pide permiso para rastrear a los visitantes de 100 formas diferentes (2024)
- El 4% de los sitios de la Administración publican galletas de seguimiento no solicitadas para rastrear a los visitantes (2023)
- El 33% de los sitios web de las administraciones públicas no cumplen la ley para aplicar el cifrado adecuado en los sitios web (2023)
- El 7% del correo dirigido al gobierno holandés pasa por partidos no europeos (2024)
Las capturas de pantalla siguientes muestran una versión provisional de los mapas de las provincias y municipios holandeses. Se extrajo de SecurityBaseline.eu y ya se puede ver públicamente porque casi todo está en orden.
La siguiente captura de pantalla está tomada de nuestro sitio web en neerlandés: basisbeveiliging.nl. Muestra tres niveles de gobierno. Lo que llama la atención es que el color de los mapas es predominantemente rojo. Esto se debe a que en Holanda no sólo medimos la sede principal de una organización, sino también todas las sedes de proyectos (nuevos distritos, nuevas autopistas, campañas, etc.), por ejemplo. Puede verse que, entre los municipios, el 62% de las 26.655 direcciones de municipios medidas obtienen una buena puntuación.
3: Calendario de lectura, publicación, alcance
El calendario de publicación es el siguiente:
- 10 de febrero de 2026: Correo electrónico con breve preaviso y enlace a este texto
- 10 de febrero de 2026: Inicio del periodo de inspección de medidas y mejoras
- Periodo de inspección del 10 de febrero al 10 de mayo:
- Autoridades medidas completas
- Reforzar las medidas TLS de internet.nl según las directrices NCSC-NL 2025 11
- Posible adición de una nueva medición y visualización sobre la soberanía digital
- Sólo gobiernos de dominios principales y subdominios, sin dominios para proyectos
- Se pueden hacer solicitudes de cambio, pero sólo se aceptará o sustituirá el dominio oficial. Otras solicitudes de dominios adicionales se mantendrán hasta después de este periodo
- 10 de mayo de 2026: Publicación de los resultados con un artículo de investigación en el que se comparen los países
- Periodo posterior al 10 de mayo de 2026:
- Añadir más autoridades y sitios, posiblemente también dominios de proyectos
- Se aceptan solicitudes de cambio de nuevos dominios
La tabla de alcance que figura a continuación enumera todos nuestros sitios web y la información que se puede encontrar en ellos. Aquí puede verse que el número de organizaciones de SecurityBaseline es grande, con más de 75.000. El número de dominios relacionados es todavía bajo, 120.000: esto crecerá hasta una media de 10 subdominios por dominio.
| Página web | Organizaciones | Tamaño de las direcciones de Internet | Medidas |
|---|---|---|---|
| SecurityBaseline.eu (el nuevo sitio web) | Todas las autoridades regionales europeas + organizaciones CSIRT (76.575) | Dominio principal + subdominios (120.257) | Las 25 métricas: seguridad, privacidad y soberanía |
| Basisbeveiliging.nl | Todo el gobierno holandés, vital, educación, sanidad, política, ciberseguridad (11.843) | Todos los dominios hasta donde podemos encontrarlos (361.688) | Las 25 métricas: seguridad, privacidad y soberanía |
| Basisbeveiliging.be (ya no es necesario después del 10 de mayo) | Gobiernos regionales de Bélgica (640) | Dominio principal + subdominios (5.789) | FTP, DMARC, DKIM, SPF, DNSSEC |
| Basistoegankelijk.nl | Todo el gobierno holandés, vital, educación, sanidad, política, ciberseguridad (11.843) | Todos los dominios hasta donde podemos encontrarlos (361.688) | 94 métricas sobre la accesibilidad de los sitios web |
4: Política de la Fundación para la Limpieza de Internet
SecurityBaseline publica medidas de seguridad de forma considerada. Nuestras consideraciones están recogidas en nuestro código de conducta. Medimos de forma diaria a semanal.
SecurityBaseline funciona según el siguiente proceso:
En la política de dominios se indica exactamente qué dominios de las organizaciones se miden. Todas las mediciones realizadas en estos dominios se agrupan en la política de medición. Como es imposible tratar todas las decisiones de la infraestructura informática de la misma manera, las organizaciones pueden declarar excepciones. Esto se denomina «cumplir o explicar». Muchas de estas declaraciones se añaden automáticamente mediante excepciones automatizadas a la política de medición. Una buena declaración cumple una serie de requisitos.
Lo que se publicará y lo que no se publicará exactamente se describe en la política de publicación. Los escaneos realizados remiten a SecurityBaseline de la forma más clara posible, a ser posible directamente a la página scaninfo (sólo en inglés). Todas las mediciones y publicaciones están sujetas a esta cláusula de exención de responsabilidad (sólo en inglés).
5: Accesibilidad
Puedes ponerte en contacto con la Fundación para la Limpieza de Internet a través de dos vías:
1: Correo electrónico a info@internetcleanup.foundation. Convertiremos los correos electrónicos en lenguas extranjeras al neerlandés o al inglés. Como resultado, puede perderse el matiz. Todos los correos se leen, pero a veces pueden pasar varias semanas antes de que encontremos tiempo para responder.
2: Discord: Visita nuestro canal de discord en https://discord.gg/FzadeDrptx pregunta por Elger, Johan o Wouter. Allí también encontrarás un canal de soporte en el que se tratan diversos temas.
6: ¿Cómo surgieron los mapas y los anuncios?
Los mapas se basan en datos públicos de Open Street Map (zonas y nombres de gobiernos), combinados con datos públicos de Wikidata (direcciones de sitios web). Para la capa CSIRT, se recopiló manualmente una lista de organizaciones y ubicaciones. Se recopiló un total de 90 mapas. Se miden todos los países europeos que han firmado el tratado del Espacio Económico Europeo, junto con Suiza. Incluimos a Suiza porque es uno de los pocos países que pone a disposición todos sus dominios de Internet mediante datos abiertos, lo cual es progresivo.
Hemos hecho deliberadamente que el sitio web principal del gobierno forme parte del CSIRT. Por supuesto, no es así como se invierte formalmente la responsabilidad. Lo vemos más como una responsabilidad social. Esperamos que, por esta vía, el principal sitio web del gobierno esté mejor protegido en caso de necesidad.
Debido a las 24 lenguas que se hablan en Europa, las páginas principales de este sitio web y de SecurityBaseline.eu se han traducido a todas estas lenguas. La traducción ha sido realizada por DeepL, a menos que el idioma no estuviera disponible (por ejemplo, maltés e islandés). Traducir sitios web a esta escala resulta caro. Estamos orgullosos de que la mayoría de los textos del sitio estén disponibles en la mayoría de las lenguas europeas, incluidos el irlandés y el griego, aunque a veces hay errores en las traducciones.
El preanuncio a los gobiernos y a las organizaciones CSIRT se hizo a través de correos electrónicos en las lenguas oficiales del estado miembro. Este preanuncio se envió a todas las direcciones de correo electrónico de gobiernos locales y organizaciones CSIRT que se pudieron encontrar. Algunas procedían de Wikidata, otras se recopilaron automáticamente y se filtraron con software de elaboración propia. En total, se enviaron decenas de miles de correos electrónicos. Los correos electrónicos se envían una sola vez para evitar molestias. Esperamos que los gobiernos hablen entre sí, y que las líneas de comunicación entre el CSIRT y los gobiernos locales sean buenas. Así que si nos olvidamos o no podemos contactar con una organización, esta red social existente nos sirve de apoyo.
Con 90 mapas nuevos y muchos miles de administraciones, es probable que a veces nos equivoquemos. Pedimos disculpas por las molestias. Aprovecharemos el periodo de revisión para seguir afinando los mapas y la información de los sitios.
7: ¿Cómo funciona esto económicamente?
Somos la Fundación para la Limpieza de Internet de Holanda. Somos un pequeño equipo de tres personas que intentamos hacer del mundo un lugar mejor con muchos conocimientos y un presupuesto reducido. Puedes encontrar información de contacto y detalles sobre nuestra fundación en la página«Sobre nosotros«.
Este proyecto se lleva a cabo por iniciativa propia, con nuestros propios recursos y en nuestro propio tiempo. No se exige ningún pago ni cantidad para utilizar nuestros hallazgos o informes. Tampoco hay muros de pago por ver la información o su reutilización por otros. Todos nuestros hallazgos están disponibles como datos abiertos.
Así que llevamos a cabo esta iniciativa desde nosotros mismos. Pero nuestras actividades diarias cuentan con el apoyo financiero del Fondo SIDN, el Centro para la Seguridad de la Información y la Protección de la Privacidad, la Inspección Estatal de Infraestructuras Digitales, el gobierno holandés y más de 30 organizaciones participantes en nuestra fundación, entre otros. Obtenemos recursos técnicos patrocinados por CoBytes, Procolix, SURF, Sentry, Hack42 y GitLab.
Otros ingresos que obtenemos de:
- Tareas de investigación,
- Desarrollar nuevas medidas y plataformas,
- Aportaciones de los participantes a nuestra fundación,
- Realizar mediciones de sectores a petición.
Es posible patrocinarnos o apoyarnos desde un gobierno, siempre que se garantice nuestra posición independiente. Para ello, ponte en contacto con elger@internetcleanup.foundation. Para todas las demás preguntas: utiliza las direcciones de la sección Accesibilidad.
Es posible participar en nuestra fundación. Deliberadamente, aún no hemos puesto a disposición esta opción en SecurityBaseline.eu porque podría considerarse que somos una empresa comercial. Esto estará disponible más adelante con la suficiente clarificación. Para participar pronto, ponte en contacto con elger@internetcleanup.foundation.
8: Más sobre nosotros
Puedes encontrar información de contacto y detalles sobre nuestra fundación en la página«Sobre nosotros«.