Alcaldia de Bucaramanga
Rama Ejecutiva · Sector territorial · Alcaldía capital
Riesgo crítico. Se detectaron 1 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2024-4577). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 12 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: deshabilitar WP_DEBUG_LOG en producción y eliminar el log existente.
Hallazgos (36)
wp-content/debug.log público en www.bucaramanga.gov.co
CriticaGET https://www.bucaramanga.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.
El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.
wp-content/debug.log público en bucaramanga.gov.co
CriticaGET https://bucaramanga.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.
El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.
Hallazgo sistémico en 83 entidades — Hallazgo sistémico
CriticaMismo patrón crítico detectado en 83 entidades del Estado: alc-arauca, alc-armenia, alc-bucaramanga, alc-cali, alc-cartago, alc-cucuta, alc-galapa, alc-girardot.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.
Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.
Hallazgo sistémico en 9 entidades — wp-content/debug.log público
CriticaMismo patrón crítico detectado en 9 entidades del Estado: alc-bucaramanga, alc-cucuta, car-corpouraba, corte-suprema, gob-choco, icanh, univ-uniajc, univ-unicordoba.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.
Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.
WordPress debug.log público con 2 errores fatales en alc-bucaramanga
CriticaGET /wp-content/debug.log: 2 fatal + 124 warnings. Paths internos del servidor leaked: 2 (/usr/share/pear, /usr/share/php). DB credentials visibles en texto: 0.
Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.
WordPress debug.log público con 2 errores fatales en alc-bucaramanga
CriticaGET /wp-content/debug.log: 2 fatal + 124 warnings. Paths internos del servidor leaked: 2 (/usr/share/pear, /usr/share/php). DB credentials visibles en texto: 0.
Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.
Hallazgo agrupado por similitud semántica (11 findings, 9 entidades)
CriticaML clustering identificó 11 findings similares afectando 9 entidades distintas. Categoría dominante: divulgacion_informacion. Severidades: {'critica': 11}. Muestra: wp-content/debug.log público en cortesuprema.gov.co | wp-content/debug.log público en upme.gov.co | wp-content/debug.log público en icanh.gov.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
CISA KEV CVE-2024-4577: php 7.4 en alc-bucaramanga (explotación activa documentada; en uso por ransomware activo)
CriticaLa versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
CVE-2022-31625: PHP heap use-after-free en pg_query_params
AltaStack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-31625 afecta esta version y permite el comportamiento descrito sin parche post-EOL.
Afecta PHP 7.4.x. Explotable si el portal usa funciones Postgres con input controlado.
CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4
AltaStack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.
Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.
Stack EOL 'PHP 7.4 (EOL)' presente en 13 entidades del Estado
AltaEntidades con esta tech: alc-bucaramanga, alc-ibague, car-cda, car-cdmb, car-corpoamazonia, car-corponarino, car-sda-bogota, ese-pasto-salud
Software fuera de soporte (PHP 7.4 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.
WordPress REST expone listado de usuarios en intranet.bucaramanga.gov.co
AltaGET https://intranet.bucaramanga.gov.co/wp-json/wp/v2/users retorna JSON con usuarios (id/name/slug). Sample: [{"id":1,"name":"admin","url":"https:\/\/intranet.bucaramanga.gov.co","description":"","link":"https:\/\/intranet.bucaramanga.gov.co\/author\/admin\/","slug":"admin","avatar_urls":{"24":"https:\/\/sec
El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.
CORS Allow-Origin '*' con Allow-Credentials en intranet.bucaramanga.gov.co
AltaConfiguración inválida y peligrosa.
Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.
CORS Allow-Origin '*' con Allow-Credentials en tramites.bucaramanga.gov.co
AltaConfiguración inválida y peligrosa.
Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.
Sin registros CAA
Altadig CAA bucaramanga.gov.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
DMARC en modo quarantine (no reject)
Alta_dmarc.bucaramanga.gov.co publica politica permisiva.
Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @bucaramanga.gov.co contra ciudadanos del territorio.
Hallazgo agrupado por similitud semántica (111 findings, 111 entidades)
AltaML clustering identificó 111 findings similares afectando 111 entidades distintas. Categoría dominante: api_expuesta. Severidades: {'alta': 111}. Muestra: VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (21 findings, 13 entidades)
AltaML clustering identificó 21 findings similares afectando 13 entidades distintas. Categoría dominante: cors_permisivo. Severidades: {'alta': 21}. Muestra: CORS Allow-Origin '*' con Allow-Credentials en mintic.gov.co | CORS Allow-Origin '*' con Allow-Credentials en invima.gov.co | CORS Allow-Origin '*' con Allow-Credentials en auth.cundinamarca.gov.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (12 findings, 12 entidades)
AltaML clustering identificó 12 findings similares afectando 12 entidades distintas. Categoría dominante: dependencias_vulnerables. Severidades: {'alta': 12}. Muestra: CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4 | CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4 | CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
robots.txt revela 2 ruta(s) sensibles en intranet.bucaramanga.gov.co
MediaDisallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.
robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.
Certificado wildcard cubre 1 dominios en bucaramanga.gov.co
MediaWildcards en SAN: *.bucaramanga.gov.co. Total SAN: 3.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en bucaramanga.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Bucket S3 privado existe con nombre bucaramanga
InfoGET https://bucaramanga.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre bucaramanga
InfoGET https://storage.googleapis.com/bucaramanga retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre alcaldia
InfoGET https://alcaldia.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre alcaldia
InfoGET https://storage.googleapis.com/alcaldia retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
VPN/Intranet alcanzable en DNS publico (2)
AltaHosts: intranet.bucaramanga.gov.co, vpn.bucaramanga.gov.co.
Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (196 findings, 196 entidades)
AltaML clustering identificó 196 findings similares afectando 196 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 196}. Muestra: DMARC en modo permisivo (quarantine en lugar de reject) | DMARC en modo quarantine (no reject) | DMARC en modo quarantine (no reject).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (69 findings, 41 entidades)
AltaML clustering identificó 69 findings similares afectando 41 entidades distintas. Categoría dominante: divulgacion_informacion. Severidades: {'alta': 69}. Muestra: WordPress REST expone listado de usuarios en prosperidadsocial.gov.co | WordPress REST expone listado de usuarios en relatoria.colombiacompra.gov.co | WordPress REST expone listado de usuarios en esap.edu.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (12 findings, 12 entidades)
AltaML clustering identificó 12 findings similares afectando 12 entidades distintas. Categoría dominante: dependencias_vulnerables. Severidades: {'alta': 12}. Muestra: CVE-2022-31625: PHP heap use-after-free en pg_query_params | CVE-2022-31625: PHP heap use-after-free en pg_query_params | CVE-2022-31625: PHP heap use-after-free en pg_query_params.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (5 findings, 37 entidades)
AltaML clustering identificó 5 findings similares afectando 37 entidades distintas. Categoría dominante: software_obsoleto. Severidades: {'alta': 5}. Muestra: Stack EOL 'IIS 8.5 (Win 2012 R2 EOL)' presente en 14 entidades del Estado | Stack EOL 'PHP 7.4 (EOL)' presente en 13 entidades del Estado | Stack EOL 'PHP 7.3 (EOL)' presente en 3 entidades del Estado.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Headers exponen versiones de stack en 2 hosts
MediaEjemplos: intranet.bucaramanga.gov.co: X-Powered-By=PHP/7.4.33; tramites.bucaramanga.gov.co: X-Powered-By=n/a.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Cookies sin Secure o SameSite en 4 hosts
MediaHosts afectados: datos.bucaramanga.gov.co, valorizacion.bucaramanga.gov.co, www.bucaramanga.gov.co, bucaramanga.gov.co.
Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.
Headers de seguridad insuficientes (2/8)
MediaApex bucaramanga.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Activos públicos (9)
intranet.bucaramanga.gov.co
intranet
Server: Apache
Tech: Apache, PHP 7.4 (EOL). Title: Intranet |
Observado: 2026-05-02
autodiscover.bucaramanga.gov.co
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 40.104.46.72).
Observado: 2026-05-02
vpn.bucaramanga.gov.co
vpn
HTTPS error: <urlopen error [SSL: UNSAFE_LEGACY_RENEGOTIATION_DISABLED] unsafe legacy renegotiation disabled (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 186.117.206.66).
Observado: 2026-05-02
catastro.bucaramanga.gov.co
subdominio
Server: nginx
Tech: Apache, Nginx, Tomcat. Title: HTTP Status 403 – Forbidden
Observado: 2026-05-02
datos.bucaramanga.gov.co
subdominio
Server: Apache
Tech: Apache, WordPress. Title: Datos - Alcaldía de Bucaramanga
Observado: 2026-05-02
valorizacion.bucaramanga.gov.co
subdominio
Server: nginx
Tech: Nginx. Title: SGV
Observado: 2026-05-02
www.bucaramanga.gov.co
portal principal
Server: Apache
Tech: Apache, WordPress. Title: Inicio - Alcaldía de Bucaramanga
Observado: 2026-05-02
bucaramanga.gov.co
portal principal
Server: Apache
Tech: Apache, WordPress. Title: Inicio - Alcaldía de Bucaramanga
Observado: 2026-05-02
tramites.bucaramanga.gov.co
portal tramites
Server: nginx
Tech: Nginx. Title: Plataforma de trámites Alcaldía de Bucaramanga
Observado: 2026-05-02