Agencia Nacional de Mineria
Rama Ejecutiva · Sector minas_energia · Agencia
Riesgo alto. Se detectó: bucket de almacenamiento cloud listable con objetos visibles. Adicionalmente, 2 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Mantener monitoreo y completar implementación de buenas prácticas básicas (security.txt, DMARC, headers).
Hallazgos (4)
DNSSEC ausente en anm.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Drupal CHANGELOG.txt accesible en anm.gov.co
MediaGET https://anm.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.
El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.
83 portales cargan scripts externos sin verificacion de integridad
Media83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.
Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.
ANM rastrea ciudadanos con servicios de rastreo
MediaEl portal de Agencia Nacional de Mineria carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.
Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de titulos mineros y contratos de concesion con valor economico. Poblacion afectada: sector minero.
Activos públicos (1)
anm.gov.co
portal principal
Server: Apache/2.4.65 (Debian)
Observado: 2026-04-03