Agencia de Desarrollo Rural

ADR, ICETEX, ANLA, ICFES, ICA, DANE, ANDJE, ARN, INDUMIL, Banco Agrario, Policia Nacional y Armada presentan SSL invalido.

Un total de 17 portales del Estado tienen SSL que genera advertencias de seguridad en navegadores.

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

El 30% de los portales no responde sin www. Los ciudadanos que escriben dian.gov.co o fiscalia.gov.co obtienen errores.

Problema basico de configuracion DNS solucionable en minutos que afecta la accesibilidad de los servicios del Estado.

Incluye nginx 1.14-1.24, Apache 2.4, IIS 7.5-10.0, awselb/2.0. Facilita identificacion de CVEs conocidos.

La divulgacion de version permite a atacantes buscar vulnerabilidades conocidas especificas para ese software.

83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

El portal de Agencia de Desarrollo Rural carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de beneficiarios de programas de desarrollo rural. Poblacion afectada: productores rurales beneficiarios.

El endpoint xmlrpc.php esta habilitado en Agencia de Desarrollo Rural. Puede usarse para ataques de fuerza bruta amplificados.

XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

Server: Apache/2.4.58 (Ubuntu)

Observado: 2026-04-03