Saltar al contenido principal

Web · 2026-03-10 · 10 min

Diagnóstico técnico de una web en 2026: las 5 capas que deciden tu visibilidad

Velocidad, SEO, Schema, cabeceras y GEO. Las cinco capas observables desde fuera que deciden si Google manda tráfico y si las IAs te citan.

Equipo Ignira · Web + Ingeniería

Lupa sobre el teclado de un portátil: metáfora de auditoría y diagnóstico técnico de una web
Foto de Agence Olloweb en Unsplash
  • En 2026 una web profesional se mide en cinco capas técnicas observables desde el HTML público: Velocidad, SEO técnico, Schema.org, Cabeceras de seguridad y GEO técnico.
  • Las cinco se miden gratis y en remoto: PageSpeed Insights API contra Chrome UX Report para velocidad real, parsing de HTML para SEO/Schema, lectura de cabeceras HTTP para seguridad, y comprobación de schema + llms.txt + robots.txt para GEO.
  • Los umbrales útiles: LCP < 2,5s · INP < 200ms · CLS < 0,1 · 6/6 cabeceras de seguridad presentes · Organization + FAQPage schema · llms.txt opcional.
  • Realidad del mercado 2026: Mozilla Observatory escaneó 7.510 sitios y más del 95% obtiene menos de B en cabeceras de seguridad. Menos del 10% tiene las cuatro críticas bien configuradas. CSP correcto: 27,3%. llms.txt: ~10% adopción.
  • Hemos publicado una herramienta gratuita que ejecuta el diagnóstico en 30 segundos sobre cualquier URL: igniratech.es/diagnostico. Sin email, sin newsletter, resultado compartible 24 horas.

Este artículo es el spoke 'cómo medir' del cluster Web/Visibilidad de Ignira. Para entender el contexto completo de SEO + GEO + AEO, ver el pillar SEO, GEO y AEO en 2026. Si el diagnóstico devuelve críticos estructurales, Migrar de WordPress a Next.js sin perder SEO cubre cómo ejecutar la reconstrucción. Para entender lo que cuesta tener todo esto bien hecho, Cuánto cuesta una web profesional en España en 2026.

Por qué cinco capas, no más

Hay decenas de cosas que pueden estar mal en una web: código de servidor, conversión del formulario, arquitectura de información, accesibilidad WCAG. Diagnosticarlas todas requiere acceso al servidor, datos de tráfico, conversaciones con el equipo, varios días de revisión humana.

Pero hay un subconjunto de cinco capas que se mide 100% desde fuera, en 30 segundos, sobre cualquier URL pública, y que cubre la inmensa mayoría de los hallazgos que afectan a SEO clásico, GEO, conversión inicial y mantenibilidad técnica.

Las cinco son:

  1. Velocidad · qué experiencia tiene el usuario al cargar.
  2. SEO técnico · qué entiende Google al leer el HTML.
  3. Schema.org JSON-LD · qué entiende una máquina (Google o IA) sobre tu entidad y contenido.
  4. Cabeceras de seguridad HTTP · qué señales de mantenimiento técnico devuelve tu servidor.
  5. GEO técnico · qué probabilidad tienes de ser citado por ChatGPT, Claude, Gemini o Perplexity.

Las cinco se observan sin tocar el servidor. Y las cinco son las que decidirán en 2026 si una web pyme es invisible o no.

Capa 1 · Velocidad · Core Web Vitals reales

Los Core Web Vitals son tres métricas de Google que miden experiencia real del visitante. Datos de laboratorio (Lighthouse) sirven como aproximación; lo que de verdad cuenta es CrUX (Chrome User Experience Report), que mide a usuarios reales.

  • LCP (Largest Contentful Paint): cuándo aparece el elemento principal visible (imagen hero, titular, primer párrafo grande). Umbral bueno: < 2,5s. Umbral malo: > 4s.
  • INP (Interaction to Next Paint): cuánto tarda tu web en responder al primer click, tap o teclado. Umbral bueno: < 200ms. Umbral malo: > 500ms. Reemplazó a FID en marzo de 2024.
  • CLS (Cumulative Layout Shift): cuánto "salta" el contenido mientras carga. Umbral bueno: < 0,1. Umbral malo: > 0,25.

Si tu web no tiene tráfico suficiente para CrUX, se mide con simulación Lighthouse, que es aproximación. PageSpeed Insights API devuelve ambos cuando están disponibles.

Causas típicas de LCP malo en webs PYME: imagen hero sin priority ni loading="eager", hosting compartido con TTFB > 1s, JavaScript bloqueante en el <head>, fuentes web descargadas en vez de subset self-hosted, falta de CDN delante.

Capa 2 · SEO técnico · lo que Google lee

El SEO técnico es una serie de etiquetas HTML que deben estar presentes y bien formadas para que Google entienda tu página. No es magia. En 2026 el checklist mínimo para cada página relevante es:

  • <title> entre 30 y 60 caracteres, único por página.
  • <meta name="description"> entre 120 y 160 caracteres, único por página.
  • <link rel="canonical"> apuntando a la URL preferida.
  • <meta name="robots"> que no contenga noindex salvo en páginas privadas.
  • <html lang="es-ES"> declarado correctamente.
  • <link rel="alternate" hreflang> si tienes versiones en otros idiomas.
  • Open Graph: og:title, og:description, og:image (1200x630), og:type para enlaces compartidos en redes.
  • Twitter Card: twitter:card para X.
  • Exactamente un <h1> por página, con jerarquía clara hacia H2/H3.
  • Imágenes con atributo alt significativo.
  • /robots.txt accesible.
  • /sitemap.xml válido y referenciado en robots.txt.

Suena obvio. La realidad: cerca del 40% de webs PYME españolas que hemos diagnosticado tienen al menos un fallo crítico en este nivel: más de un H1 por página, descripciones duplicadas entre páginas, canonical apuntando a sí misma con parámetros, o robots.txt bloqueando indexación por error.

Capa 3 · Schema.org JSON-LD · lo que entiende una máquina

Schema.org en JSON-LD declara quién eres como entidad y qué hay en cada página, en formato que Google y los LLMs procesan sin ambigüedad. Se embebe dentro de <script type="application/ld+json">. Los más relevantes en 2026:

  • Organization: quién es la empresa. Campos clave: name, url, sameAs (perfiles oficiales: LinkedIn, GitHub, Instagram), logo. Sin esto los modelos no tienen anclaje canónico para citarte.
  • LocalBusiness: si tienes sede física. Añade address, geo con latitud/longitud, openingHoursSpecification, telephone.
  • WebSite: el sitio en su conjunto, normalmente con potentialAction de búsqueda interna.
  • Article: para entradas de blog. Campos clave: headline, author, datePublished, dateModified, image. dateModified señala frescura.
  • FAQPage: bloque de preguntas frecuentes estructuradas como mainEntity de tipo Question con su acceptedAnswer. Es lo que aparece en los rich results de Google y lo que las IAs citan con muchísima frecuencia por ser extraíble limpio.
  • Service + Offer (con precio numérico): para fichas de servicio. Permite a Google mostrar el precio en SERP y a los LLMs citar el coste cuando alguien pregunta por el sector.
  • ItemList y CollectionPage: en hubs (catálogo de servicios, blog, casos) para que los modelos puedan citar el catálogo completo.
  • BreadcrumbList: la ruta de navegación. Mejora rich results de Google.

Schema mal hecho o ausente es la causa más común de invisibilidad en IAs: ChatGPT, Claude y Perplexity dependen de schema para entender entidades. Sin Organization, los modelos no saben quién eres ni cómo distinguirte de homónimos.

Capa 4 · Cabeceras de seguridad HTTP

Las cabeceras de seguridad son la firma técnica del responsable de tu web. Las seis básicas que toda web profesional debería devolver:

  1. Strict-Transport-Security: max-age=63072000: fuerza HTTPS y previene downgrade attacks en WiFi públicas.
  2. Content-Security-Policy: define qué scripts, estilos, imágenes y fuentes puede cargar la página. Sin esto, un XSS roba sesiones sin esfuerzo. Implementación correcta: solo el 27,3% de sitios escaneados por Mozilla Observatory en 2026.
  3. X-Frame-Options: DENY: impide que tu web sea embebida en un iframe (clickjacking).
  4. X-Content-Type-Options: nosniff: impide al browser interpretar respuestas como tipos incorrectos.
  5. Referrer-Policy: strict-origin-when-cross-origin: evita filtrar URLs internas a otros sitios al navegar.
  6. Permissions-Policy: camera=(), microphone=(), geolocation=(): cierra APIs sensibles que no se usen.

Mozilla Observatory escaneó 7.510 sitios en 2026: la puntuación media es 58/100. Más del 95% obtiene menos de B y menos del 10% tiene las cuatro cabeceras críticas correctamente configuradas. Para una web boutique técnica, llegar a 6/6 es un diferencial visible que las IAs y los browsers modernos valoran.

Capa 5 · GEO técnico · la nueva capa de 2024-2026

GEO (Generative Engine Optimization) es la disciplina de optimizar para que ChatGPT, Claude, Gemini, Perplexity y similares te citen cuando un usuario les pregunta por tu sector. En 2026 más del 50% de búsquedas informacionales empieza en un asistente de IA antes que en Google, y Google AI Mode reporta un 93% de zero-click. Cubrimos el contexto completo en el pillar SEO, GEO y AEO en 2026; aquí lo que se mide técnicamente:

  • Schema Organization o LocalBusiness presente y con sameAs poblado. Sin esta entidad, las IAs no tienen anclaje canónico.
  • Schema FAQPage en páginas relevantes (servicios, post, contacto). Las IAs citan FAQs estructurados con frecuencia muy alta.
  • Atributo lang en <html> correctamente declarado.
  • /robots.txt con whitelist explícita de bots IA: GPTBot, OAI-SearchBot, ChatGPT-User, ClaudeBot, Claude-SearchBot, Claude-User, PerplexityBot, Perplexity-User, Google-Extended, Applebot-Extended, Bingbot, DuckAssistBot.
  • /sitemap.xml válido: las IAs descubren páginas por sitemap igual que Google.
  • /llms.txt: archivo emergente que describe tu sitio para LLMs. ~10% de adopción global, sin estándar formal y sin confirmación de tracción medible en SERP, pero coste de implementación bajo y señal positiva para crawlers que sí lo leen (IDE agents documentados).

Cómo lo medimos en 30 segundos

Las cinco capas son observables desde fuera. Velocidad se obtiene de la PageSpeed Insights API de Google con datos reales del Chrome User Experience Report. SEO técnico, Schema y GEO se extraen parseando una única petición HTTP al HTML de la portada, más tres peticiones cortas a /robots.txt, /sitemap.xml y /llms.txt. Cabeceras se leen de la propia respuesta HTTP.

Hemos automatizado este diagnóstico en una herramienta pública gratuita: igniratech.es/diagnostico. Mete tu URL y en ~30 segundos recibes:

  • Los 5 cards con estado por categoría (Crítico / A mejorar / Correcto).
  • Hallazgos concretos con el dato y la implicación: por qué importa y qué falta técnicamente.
  • Un perfil agregado (rota / antigua / lenta / sana) que orienta el siguiente paso.
  • URL pública compartible con tu equipo durante 24 horas.

Sin email obligatorio, sin newsletter, sin retargeting. Es regalo: si quieres trabajar con nosotros después, hablamos. Si no, te llevas el informe.

Qué hacer con los hallazgos

Un diagnóstico técnico sin priorización es ruido. La forma sensata de actuar:

  1. Hallazgos críticos primero: los que rompen indexación, conversión o seguridad. Sin <title>, sin HTTPS, robots.txt bloqueando todo, HSTS ausente, schema corrupto.
  2. Quick wins técnicos: cosas que se arreglan en horas y dan retorno inmediato: añadir priority a la imagen hero, completar OG tags, añadir Organization schema, abrir las cabeceras de seguridad básicas, declarar la whitelist de bots IA.
  3. Estructurales: refactor de jerarquía de headings, migración a Next.js o Astro si la base es WordPress lento, implementación de llms.txt, FAQPage estructurado, Speakable schema.
  4. Estratégicos: replantear arquitectura SEO, plan de contenido para GEO/AEO, mejora profunda de CWV con CDN propia, optimización profunda de imágenes.

Regla práctica: si tu diagnóstico devuelve más de tres hallazgos críticos, lo razonable suele ser reconstruir antes que parchear: el coste de mantenimiento de una web mal hecha supera el de hacerla nueva. La ruta de ejecución está cubierta en Migrar de WordPress a Next.js sin perder SEO. Si hay solo uno o dos críticos y el resto warnings, una auditoría técnica profunda te da el plan ordenado para 1-3 meses.

Cierre

Las cinco capas no son una checklist arbitraria. Son los puntos observables que decidirán si Google te manda tráfico, si las IAs te citan y si los browsers modernos no muestran warnings a tus visitantes.

Diagnosticarlas en 30 segundos es trivialmente factible en 2026. Lo difícil es interpretar los hallazgos en el contexto de tu negocio y tu sector y decidir qué se arregla primero. Para eso seguimos teniendo nuestra auditoría técnica completa.

Para empezar, mete tu URL al diagnóstico rápido. Si pasa las cinco categorías sin críticos, estás en el percentil superior de webs PYME españolas en 2026. Si no, ya sabes por dónde empezar.

Preguntas frecuentes

¿Cuáles son las 5 capas técnicas que deciden la visibilidad de una web en 2026?
Velocidad (Core Web Vitals: LCP, INP, CLS con datos reales de CrUX), SEO técnico (title, meta, OG, canonical, hreflang, robots, sitemap, jerarquía de H1), Schema.org JSON-LD (Organization, LocalBusiness, FAQPage, Article, BreadcrumbList, ItemList), cabeceras de seguridad HTTP (HSTS, CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy, X-Content-Type-Options) y GEO técnico (entidades citables por IA, FAQPage estructurado, atributo lang, whitelist de bots IA, llms.txt). Las cinco se observan desde el HTML público sin acceso al servidor.
¿Qué umbrales aplicar en Core Web Vitals en 2026?
LCP (Largest Contentful Paint) por debajo de 2,5 segundos en móvil; INP (Interaction to Next Paint) por debajo de 200 milisegundos; CLS (Cumulative Layout Shift) por debajo de 0,1. Son los umbrales 'Good' oficiales de Google que dan ranking factor. Para sitios premium se apunta a LCP < 2,0s, INP < 150ms y CLS < 0,05 como objetivo interno. Datos reales (no de laboratorio) se obtienen del Chrome User Experience Report (CrUX) vía PageSpeed Insights API.
¿Qué cabeceras de seguridad debería devolver toda web profesional?
Las seis básicas: Strict-Transport-Security con max-age >= 6 meses (HSTS), Content-Security-Policy sin 'unsafe-inline' ni 'unsafe-eval', X-Frame-Options DENY o SAMEORIGIN, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin o más restrictivo, Permissions-Policy cerrando cámara, micrófono y geolocalización si no se usan. Mozilla Observatory escaneó 7.510 sitios en 2026: más del 95% obtiene menos de B y menos del 10% tiene las cuatro cabeceras críticas bien configuradas. CSP correctamente implementado: solo 27,3%.
¿Qué señales de Schema.org necesita mi web para que la cite ChatGPT, Claude o Perplexity?
Mínimo: Organization con name, url y sameAs apuntando a perfiles oficiales (LinkedIn, GitHub). Si hay sede física, LocalBusiness con address y geo. Para artículos: Article con headline, author y dateModified. Para preguntas frecuentes: FAQPage con Question/Answer, es el schema con mayor tasa de citación por LLM. Para servicios con precio: Service+Offer. Para catálogos: ItemList. Sin Organization, los modelos no tienen anclaje canónico para citarte como entidad.
¿Qué es llms.txt y necesito implementarlo?
llms.txt es un archivo de texto plano en la raíz del dominio (tu-web.com/llms.txt) en formato Markdown que describe qué hace tu sitio, qué páginas son canónicas y cómo deberían interpretarte los LLMs. Lo usan Anthropic, Stripe, Cloudflare, Vercel, Cursor y Supabase entre otros: ~10% de adopción global en mayo 2026. NO es estándar W3C todavía y ninguno de los grandes motores (OpenAI, Anthropic, Google, Mistral) ha confirmado que extraiga información de él en su buscador. Sí confirman lectura: IDE agents (Cursor, Continue, Aider). Coste bajo de implementación, impacto incierto: vale la pena tenerlo sin sobrevenderlo.
¿Por qué medir cabeceras y schema si Google no las penaliza directamente?
Google no penaliza explícitamente la ausencia de cabeceras de seguridad en su algoritmo de ranking. Sí penaliza HTTPS roto, contenido mixto y popups intrusivos. Pero las cabeceras importan por tres motivos: (1) los browsers modernos muestran warnings 'no seguro' cuando faltan, destruyendo conversión; (2) las IAs evalúan señales de confianza al decidir qué citar, y un sitio con cabeceras correctas señala mantenimiento técnico real; (3) cumplimiento RGPD/NIS2 europeo cada vez exige más controles técnicos observables. En schema sí hay impacto directo en Rich Results de Google y citabilidad en LLMs.
¿Es posible diagnosticar todo esto sin instalar nada en mi servidor?
Sí, las cinco capas se observan desde el HTML público y las cabeceras HTTP de la respuesta. Velocidad se mide remotamente con Google PageSpeed Insights API contra CrUX (datos reales de usuarios). SEO se extrae parseando el HTML de la portada. Schema se valida leyendo todos los script type='application/ld+json'. Cabeceras se leen de la propia respuesta HTTP. GEO se infiere del schema + presencia de /robots.txt, /sitemap.xml y /llms.txt. En Ignira hemos automatizado las cinco capas en /diagnostico: devuelve resultado en 30 segundos sin pedir email.
¿Qué hago con los hallazgos del diagnóstico?
Cuatro niveles de prioridad. (1) Críticos: rompen indexación, conversión o seguridad (sin title, sin HTTPS, robots.txt bloqueando, HSTS ausente). (2) Quick wins: priority en imagen hero, OG tags, Organization schema, cabeceras básicas. (3) Estructurales: refactor de headings, migración a Next.js o Astro si la base es WordPress lento, FAQPage estructurado. (4) Estratégicos: arquitectura SEO, plan GEO, CDN propia. Más de tres críticos suele justificar reconstrucción antes que parcheo.