Exposición de datos personales

22 exposiciones identificadas en portales del Estado colombiano. 5 críticas.

APIs sin autenticación, entornos de desarrollo expuestos, intranets accesibles y dominios suplantables por email. Observación pasiva equivalente a navegador.

15

APIs CMS expuestas

0

Entornos dev

0

Intranets accesibles

258/119

Dominios suplantables

22 resultados
API de CMSMedicina Legal
Critica

Catalogo JSON Web Services de Liferay accesible

El portal medicinalegal.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.

JSONWS catalog
medicinalegal.gov.coForense
API de CMSSuperSociedades
Critica

Catalogo JSON Web Services de Liferay accesible

El portal supersociedades.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.

JSONWS catalog
supersociedades.gov.coFinanciero
API de CMSCGN
Critica

Catalogo JSON Web Services de Liferay accesible

El portal contaduria.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.

JSONWS catalog
contaduria.gov.coFinanciero
Email suplantableSuperVigilancia
Critica

Dominio suplantable por email

El dominio supervigilancia.gov.co permite suplantacion de correo electronico (SPF softfail, sin DMARC). Datos de empresas de seguridad privada y personal armado. Informacion sensible de seguridad.

SPF softfailsin DMARC
supervigilancia.gov.coMilitar/Seguridad
Email suplantableUIAF
Critica

Dominio suplantable por email

El dominio uiaf.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). La UIAF maneja los datos MAS sensibles del sistema financiero: reportes de operaciones sospechosas, investigaciones de lavado de activos y financiacion del terrorismo. Proteccion de nivel inteligencia de Estado.

SPF softfailDMARC none
uiaf.gov.coFinanciero
API de CMSANSV
Alta

JSON:API Drupal expone 174 tipos de recurso

El portal ansv.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 174 tipos de recurso y 5 cuentas de usuario.

174 resource types5 usuarios expuestos
ansv.gov.coInstitucional
API de CMSAPC-Colombia
Alta

JSON:API Drupal expone 109 tipos de recurso

El portal apccolombia.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 109 tipos de recurso y 5 cuentas de usuario.

109 resource types5 usuarios expuestos
apccolombia.gov.coInstitucional
API de CMSANM
Alta

JSON:API Drupal expone 553 tipos de recurso

El portal anm.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 553 tipos de recurso y 5 cuentas de usuario.

553 resource types5 usuarios expuestos
anm.gov.coEnergetico
API de CMSIDEAM
Alta

JSON:API Drupal expone 0 tipos de recurso

El portal ideam.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 0 tipos de recurso.

ideam.gov.coAmbiental
API de CMSMinVivienda
Alta

JSON:API Drupal expone 246 tipos de recurso

El portal minvivienda.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 246 tipos de recurso y 5 cuentas de usuario.

246 resource types5 usuarios expuestos
minvivienda.gov.coInstitucional
API de CMSUIAF
Alta

JSON:API Drupal expone 67 tipos de recurso

El portal uiaf.gov.co tiene su API JSON:API completamente accesible sin autenticacion, exponiendo 67 tipos de recurso y 5 cuentas de usuario.

67 resource types5 usuarios expuestos
uiaf.gov.coFinanciero
API de CMSAuditoria General
Alta

Catalogo JSON Web Services de Liferay accesible

El portal auditoria.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.

JSONWS catalog
auditoria.gov.coInstitucional
API de CMSFuncion Publica
Alta

Catalogo JSON Web Services de Liferay accesible

El portal funcionpublica.gov.co expone su catalogo completo de servicios web Liferay (JSONWS) sin autenticacion.

JSONWS catalog
funcionpublica.gov.coLaboral/Pensional
API de CMSCCE
Alta

19 cuentas WordPress expuestas (1 admin)

La API REST de WordPress expone 19 cuentas con nombres reales y slugs de login. Incluye 1 cuentas con privilegios de administracion.

19 usuarios1 adminsnombres reales
relatoria.colombiacompra.gov.coContratacion
API de CMSESAP
Alta

11 cuentas WordPress expuestas (2 admin)

La API REST de WordPress expone 11 cuentas con nombres reales y slugs de login. Incluye 2 cuentas con privilegios de administracion.

11 usuarios2 adminsnombres reales
esap.edu.coEducativo
API de CMSPNN
Alta

7 cuentas WordPress expuestas (6 admin)

La API REST de WordPress expone 7 cuentas con nombres reales y slugs de login. Incluye 6 cuentas con privilegios de administracion.

7 usuarios6 adminsnombres reales
parquesnacionales.gov.coAmbiental
Email suplantableCNE
Alta

Dominio suplantable por email

El dominio cne.gov.co permite suplantacion de correo electronico (SPF hardfail, DMARC none). Regulador electoral con datos de financiacion de campanas politicas.

SPF hardfailDMARC none
cne.gov.coElectoral/Identidad
Email suplantableINVIMA
Alta

Dominio suplantable por email

El dominio invima.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). Registros sanitarios de medicamentos y alimentos. Manipulacion podria poner en riesgo la salud publica.

SPF softfailDMARC none
invima.gov.coDatos sensibles
Email suplantableJEP
Alta

Dominio suplantable por email

El dominio jep.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). La JEP investiga crimenes del conflicto armado. Datos de victimas y comparecientes (exguerrilleros, militares) con proteccion constitucional reforzada del Acuerdo de Paz.

SPF softfailDMARC none
jep.gov.coJudicial
Email suplantableMinIgualdad
Alta

Dominio suplantable por email

El dominio minigualdadyequidad.gov.co permite suplantacion de correo electronico (SPF softfail, sin DMARC). Datos especialmente sensibles de poblaciones vulnerables con proteccion constitucional reforzada.

SPF softfailsin DMARC
minigualdadyequidad.gov.coDatos sensibles
Email suplantableDPS
Alta

Dominio suplantable por email

El dominio prosperidadsocial.gov.co permite suplantacion de correo electronico (SPF softfail, DMARC none). Datos de poblacion en extrema pobreza, victimas y adultos mayores vulnerables. Informacion altamente sensible.

SPF softfailDMARC none
prosperidadsocial.gov.coDatos sensibles
API de CMSDPS
Media

1 cuentas WordPress expuestas

La API REST de WordPress expone 1 cuentas con nombres reales y slugs de login.

1 usuariosnombres reales
prosperidadsocial.gov.coDatos sensibles

Todas las observaciones provienen de señales públicas (APIs documentadas, DNS, Certificate Transparency). Sin pruebas de penetración ni técnicas intrusivas.