SecurityBaseline.eu: 3.000 sitios UE con tracking ilegal y 99% sin cifrado

Publicado por Andrés Morales en

⏱️ Lectura: 12 min

El 13 de mayo de 2026, la organización holandesa Internet Cleanup Foundation lanzó SecurityBaseline.eu, una plataforma que escanea de forma continua la postura de seguridad de los gobiernos europeos y publica los resultados en mapas tipo semáforo accesibles a cualquier ciudadano.

📑 En este artículo
  1. TL;DR
  2. Qué es SecurityBaseline.eu y por qué importa
  3. Las tres cifras que destapan el desastre
    1. 3.000 sitios con tracking ilegal
    2. 1.000 phpMyAdmins en internet
    3. 99% del email sin cifrado fuerte
  4. Cómo funciona el escaneo: 200.000 dominios, 21 métricas, 1.827 mapas
  5. De Basisbeveiliging a Europa: una década de transparencia
  6. Mapas tipo semáforo: rojo, naranja, verde, gris
  7. Implicaciones para LATAM: ¿qué pasaría con un escaneo similar?
  8. Qué sigue
  9. Preguntas frecuentes
    1. ¿Qué es SecurityBaseline.eu?
    2. ¿Cubre toda Europa?
    3. ¿Por qué es tan grave que haya phpMyAdmins expuestos?
    4. ¿Qué significa “99% del email mal cifrado”?
    5. ¿Cómo se financia el proyecto?
    6. ¿Existe algo similar para LATAM?
  10. Referencias

El diagnóstico inicial es contundente: 3.000 sitios gubernamentales usan cookies de tracking sin base legal, más de 1.000 interfaces de administración de bases de datos (mayoritariamente phpMyAdmin) son alcanzables desde internet, y el 99% del correo electrónico oficial europeo no cumple con estándares modernos de cifrado en tránsito.

TL;DR

  • SecurityBaseline.eu se lanzó el 13 de mayo de 2026 cubriendo 32 países europeos y unos 67.000 gobiernos locales.
  • 3.000 sitios gubernamentales usan cookies de tracking sin consentimiento válido, contraviniendo el RGPD y la ePrivacy Directive.
  • Más de 1.000 interfaces de bases de datos (phpMyAdmin, Adminer) están públicamente expuestas en rangos IP gubernamentales.
  • 99% del email gubernamental europeo carece de cifrado fuerte: faltan DANE, MTA-STS o configuraciones adecuadas de DKIM/DMARC/SPF.
  • El escaneo cubre ~200.000 dominios y reconstruye 1.827 mapas cada noche desde 21 métricas distintas.
  • Es un spin-off de Basisbeveiliging, iniciativa holandesa con más de una década en producción y referenciada en política pública.
  • La fundación notificó a miles de gobiernos por correo tres meses antes del lanzamiento público, dándoles tiempo para remediar.

Qué es SecurityBaseline.eu y por qué importa

SecurityBaseline.eu nace como la evolución paneuropea de Basisbeveiliging, un proyecto holandés que desde hace más de una década monitorea la salud cibernética de los entes gubernamentales de Países Bajos. La nueva plataforma extiende esa metodología a los 27 Estados miembros de la Unión Europea más los cuatro países del Espacio Económico Europeo (Suiza, Noruega, Islandia y Liechtenstein), totalizando 32 jurisdicciones. El Reino Unido queda fuera del scope.

La premisa de la Internet Cleanup Foundation es directa: la transparencia es un prerrequisito de la seguridad. Si un ciudadano no puede verificar de un vistazo si la web de su ayuntamiento usa HTTPS correctamente, si su correo oficial cifra los mensajes que envía, o si hay un panel administrativo de base de datos colgando expuesto en internet, entonces no hay rendición de cuentas posible. Y sin rendición de cuentas, no hay incentivo para invertir en mejoras.

Lo que diferencia a SecurityBaseline.eu de iniciativas similares es la escala combinada con automatización: 200.000 dominios escaneados a diario, 21 métricas técnicas por dominio, 1.827 mapas regenerados cada noche. No es un informe anual ni una auditoría puntual: es un termómetro permanente, abierto y verificable.

Mapa de Europa con coloración tipo semáforo mostrando seguridad gubernamental de SecurityBaseline.eu
Los mapas usan rojo, naranja y verde según el nivel de cumplimiento técnico.

Las tres cifras que destapan el desastre

El reporte inaugural pone tres números sobre la mesa que merecen análisis individual, porque cada uno responde a una falla distinta y exige una mitigación distinta.

3.000 sitios con tracking ilegal

Un sitio gubernamental que carga scripts de terceros (Google Analytics, Facebook Pixel, Hotjar, entre otros) antes del consentimiento explícito del usuario está violando la ePrivacy Directive y, dependiendo del dato recopilado, también el RGPD. La autoridad de protección de datos austriaca (DSB) ya determinó en 2022 que usar Google Analytics en su forma estándar es incompatible con el RGPD tras la sentencia Schrems II; muchas administraciones nunca actualizaron sus stacks ni reemplazaron las herramientas señaladas.

Tres mil sitios oficiales filtrando datos de visitantes hacia servidores en Estados Unidos sin base legal no es un detalle técnico: es una infracción sistémica en la capa más visible de la administración pública, justamente la que el ciudadano usa para gestionar trámites sensibles.

1.000 phpMyAdmins en internet

Esta es, técnicamente, la cifra más alarmante. phpMyAdmin es una interfaz web para administrar bases de datos MySQL y MariaDB. Está pensada para uso en redes internas, jamás expuesta a la internet pública sin VPN, WAF, restricciones de IP y autenticación robusta. Cada phpMyAdmin colgando en una IP gubernamental es:

  • Un objetivo de fuerza bruta automatizada las 24 horas del día.
  • Una superficie de ataque si el binario tiene una CVE sin parchear.
  • Una puerta abierta a exfiltración de datos de ciudadanos, vehículos, multas, registros de salud o lo que esa instancia gestione.

El histórico de vulnerabilidades de phpMyAdmin incluye RCE, SQL injection y bypasses de autenticación. No hace falta una zero-day; bastan credenciales débiles, contraseñas reutilizadas o un binario desactualizado para que el atacante entre por la puerta principal.

⚠️ Ojo: Un panel administrativo expuesto no necesita una vulnerabilidad para ser un riesgo. Bastan credenciales reutilizadas, ataques de fuerza bruta o phishing al administrador para comprometer la base de datos completa.

99% del email sin cifrado fuerte

Aquí “cifrado fuerte” significa cumplir con la batería de estándares modernos que evitan interceptación, suplantación y degradación de TLS:

  • STARTTLS obligatorio en el servidor MX.
  • MTA-STS para forzar TLS y evitar downgrade attacks.
  • DANE/TLSA apoyado en DNSSEC para pinning de certificado.
  • SPF, DKIM y DMARC con políticas de reject, no none.

Que el 99% de los dominios gubernamentales europeos no cumpla con este combo significa que sus correos pueden ser leídos en tránsito por intermediarios, suplantados con relativa facilidad y aprovechados para campañas de spear phishing contra ciudadanos. Un correo aparentemente proveniente del Ministerio de Hacienda que pasa todas las validaciones del cliente es prácticamente indistinguible de uno legítimo para el receptor.

Cómo funciona el escaneo: 200.000 dominios, 21 métricas, 1.827 mapas

La plataforma corre Web Security Map, el software de código abierto que la fundación lleva una década puliendo. El flujo, en alto nivel, es el siguiente:

graph LR
  A["200k dominios"] --> B["21 metricas tecnicas"]
  B --> C["1827 mapas regionales"]
  C --> D["Visualizacion publica diaria"]

Cada noche, los workers de escaneo recorren los dominios oficiales recopilados (homepages de cada gobierno más sus subdominios públicos) y evalúan cada métrica: cabeceras HTTP de seguridad, configuración TLS, salud DNS, presencia de cookies de terceros antes del consentimiento, exposición de paneles administrativos, configuración de email, y más. Los resultados se cruzan con los polígonos geográficos de OpenStreetMap para generar los mapas regionales.

La elección de mostrar los datos en mapas tipo semáforo no es estética: es deliberadamente accesible. Cualquier persona, sin conocimientos técnicos, puede entender que “rojo igual a problema, naranja igual a aviso, verde igual a OK”. No hay puntuaciones relativas, no hay rankings ponderados: o se cumple o no se cumple.

💭 Clave: Una sola métrica en rojo basta para marcar la región entera como roja. La fundación argumenta que “no existe la seguridad relativa”: un solo phpMyAdmin expuesto compromete a todo el municipio.

De Basisbeveiliging a Europa: una década de transparencia

Basisbeveiliging (literalmente “seguridad básica” en neerlandés) nació como respuesta a una pregunta incómoda: ¿cómo sabemos si los ayuntamientos están haciendo los deberes mínimos? El proyecto se volvió referencia en Países Bajos, al punto de ser citado en políticas públicas y complementado por Internet.nl, la herramienta oficial del gobierno holandés para autoevaluar dominios.

La extensión a Europa no fue un simple cambio de bandera. Cada país divide su territorio de forma distinta: Alemania tiene una jerarquía administrativa profunda (Bund, Land, Kreis, Gemeinde) que se vuelve confusa de mapear; Suecia es mucho más plana; Italia oculta muchas administraciones como subdominios de otros sitios, lo que sesga las métricas a la baja. La fundación tuvo que normalizar 87 capas geográficas distintas para que los mapas fueran comparables entre jurisdicciones.

Cluster de servidores con luces verdes y rojas representando el estado de seguridad de gobiernos europeos
El escaneo nocturno reevalúa 200.000 dominios y 21 métricas por dominio.

Mapas tipo semáforo: rojo, naranja, verde, gris

Cuatro colores cubren el espectro:

  • Rojo — hay al menos un fallo de seguridad activo.
  • Naranja — advertencia: hay una métrica que requiere atención inminente.
  • Verde — sin issues detectados en las métricas evaluadas.
  • Gris — no se encontraron dominios oficiales para esa región (gap de datos).

El reporte hace observaciones interesantes por país: las comunas de Dinamarca son mayoritariamente naranjas, lo que sugiere una política activa de mejora; los municipios italianos aparecen muy verdes, pero el truco metodológico es que muchas administraciones italianas viven como subdominios y trasladan los problemas a la jerarquía superior; los CSIRT europeos (Equipos de Respuesta a Incidentes) salen todos rojos, lo cual es paradójico considerando que su misión es exactamente esa: la ciberseguridad. La fundación los conecta deliberadamente al sitio gubernamental principal de cada país para nivelar la cancha.

Implicaciones para LATAM: ¿qué pasaría con un escaneo similar?

América Latina no tiene un equivalente directo a SecurityBaseline.eu, pero la pregunta es legítima: si alguien apuntara la misma metodología a los gobiernos locales de la región, ¿qué encontraría?

Hay indicios. Reportes técnicos recurrentes muestran patrones similares: portales municipales sin HTTPS o con TLS desactualizado, paneles de administración filtrados en buscadores como Shodan, formularios de trámites con cookies de terceros precargadas, y dominios oficiales que reciben correos sin verificación SPF, DKIM o DMARC. Sin un escáner público y constante, esos hallazgos quedan en hilos de Twitter, en disclosure responsables que nunca se cierran, o peor, en filtraciones que el ciudadano descubre cuando ya es tarde.

Para desarrolladores y consultores en LATAM, el proyecto holandés es una doble lectura: por un lado, demuestra que la tecnología existe y es replicable (el código fuente de Web Security Map es abierto); por otro, muestra que el problema no es técnico, sino de gobernanza y voluntad institucional. Construir un “SecurityBaseline.gt” o “SecurityBaseline.mx” es viable desde el punto de vista de ingeniería; convencer a las autoridades de aceptar el escrutinio constante y público es otra historia, y es ahí donde se necesita sociedad civil organizada.

💡 Tip: Si querés auditar dominios oficiales de tu país sin esperar a que llegue un SecurityBaseline regional, podés empezar con herramientas como internet.nl, Mozilla Observatory y Hardenize. Los tres ofrecen reportes públicos, reproducibles y comparables entre dominios.

Qué sigue

La fundación ya tiene roadmap público: ampliar el conjunto de dominios gubernamentales (estiman que el universo real es diez veces mayor que los 200.000 que escanean hoy, sobre todo por los “sitios proyecto”: turismo, vivienda, infraestructura, festivales, eventos, etc.), abrir más métricas para que las administraciones puedan corregir antes de aparecer en rojo, y trabajar con CSIRTs nacionales para canalizar disclosures coordinados de las vulnerabilidades más críticas detectadas.

El test de fuego, sin embargo, llegará en los próximos meses: ¿cuántos de los 3.000 sitios con tracking ilegal retiran las cookies en 90 días?, ¿cuántos phpMyAdmins quedan offline?, ¿cuántos dominios implementan MTA-STS y DANE? El proyecto publica datos diariamente, así que la respuesta será verificable en tiempo real y, dado que el código es abierto, también auditable por terceros.

📖 Resumen en Telegram: Ver resumen.

Preguntas frecuentes

¿Qué es SecurityBaseline.eu?

Es una plataforma lanzada el 13 de mayo de 2026 por la Internet Cleanup Foundation que mapea métricas de seguridad de gobiernos europeos: cabeceras HTTP, TLS, exposición de paneles administrativos, cifrado de email, tracking en cookies, entre otras. Los resultados se publican en mapas tipo semáforo accesibles a cualquier persona.

¿Cubre toda Europa?

Cubre los 27 Estados miembros de la UE más Suiza, Noruega, Islandia y Liechtenstein, totalizando 32 jurisdicciones. El Reino Unido no está incluido en el escaneo.

¿Por qué es tan grave que haya phpMyAdmins expuestos?

phpMyAdmin es una herramienta de administración de bases de datos pensada para uso interno en redes privadas. Expuesta a internet, se convierte en blanco constante de ataques de fuerza bruta y de exploits contra versiones desactualizadas. Una sola instancia comprometida puede dar acceso completo a la base de datos de un ayuntamiento o ministerio.

¿Qué significa “99% del email mal cifrado”?

Significa que el 99% de los dominios gubernamentales escaneados no cumplen con la batería moderna de estándares: STARTTLS forzado, MTA-STS, DANE/TLSA con DNSSEC, y políticas DMARC en modo reject. Esto los hace vulnerables a interceptación y suplantación de identidad.

¿Cómo se financia el proyecto?

Internet Cleanup Foundation es una organización sin fines de lucro que recibe membresías y financiamiento para investigaciones específicas. El código que sostiene los escaneos (Web Security Map) es abierto y reutilizable por cualquier país u organización.

¿Existe algo similar para LATAM?

No hay un equivalente directo continental para América Latina. Existen herramientas individuales como Mozilla Observatory, internet.nl o Hardenize que se pueden usar para auditar dominios puntuales, pero no hay una plataforma que mapee gobiernos locales de la región de forma sistemática, pública y continua.

Referencias

  • Internet Cleanup Foundation — Anuncio oficial del lanzamiento de SecurityBaseline.eu con los datos completos y la metodología.
  • SecurityBaseline.eu — Plataforma con los mapas interactivos y métricas por país, región y municipio.
  • Basisbeveiliging — Proyecto holandés de origen, en producción desde hace más de una década.
  • Internet.nl — Herramienta oficial del gobierno holandés para autoevaluar dominios contra estándares de seguridad modernos.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.

Categorías: Programación

Andrés Morales

Desarrollador e investigador en inteligencia artificial. Escribe sobre modelos de lenguaje, frameworks, herramientas para devs y lanzamientos open source. Cubre papers de ML, ecosistema de startups tech y tendencias de programación.

0 Comentarios

Deja un comentario

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Entradas relacionadas

Diagrama conceptual del roadmap de arquitectura de software con sus 4 fases
Programación

Aprender arquitectura de software: el roadmap honesto para juniors en 2026

Un físico investigador le preguntó a matklad cómo aprender arquitectura de software. Su respuesta fue corta, incómoda y exacta. Acá la convertimos en un roadmap concreto en 4 fases, con los libros, charlas y proyectos que sí enseñan a diseñar sistemas.

Diagrama de CUDA-oxide compilando Rust directo a PTX para GPUs Nvidia
Programación

CUDA-oxide v0.1.0: Nvidia libera el compilador oficial de CUDA en Rust puro

Nvidia libera CUDA-oxide v0.1.0, un compilador oficial que ejecuta Rust estándar en GPUs sin pasar por C++ ni nvcc. Es single-source: el mismo archivo .rs corre en CPU y GPU. Aún en alpha experimental, marca un giro estratégico en el stack de cómputo paralelo dominante.

Diagrama mostrando los puntos donde una idempotency key naive puede fallar
Programación

Idempotency-Key: 8 casos donde la implementación trivial falla

Implementar idempotencia parece trivial: un Idempotency-Key, un cache y listo. Un post viral en Hacker News (211 puntos) muestra los 8 escenarios reales donde esa lógica naive produce dobles cobros y eventos perdidos. Análisis de los gotchas y los patrones que sí funcionan.