Caja de Compensación Familiar de Antioquia (Comfama)
Rama Ejecutiva · Sector salud · Caja de Compensación Familiar
Riesgo crítico. La entidad acumula 7 hallazgos críticos verificados. La superficie de ataque concurrente sugiere falta de auditoría reciente y configuraciones por defecto sin endurecer. Adicionalmente, 6 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: configurar el header Access-Control-Allow-Origin con una lista explícita y nunca combinar * con Allow-Credentials: true.
Hallazgos (12)
CORS refleja Origin con Allow-Credentials en sonar.comfama.com
CriticaOrigin: 'https://evil-attacker.tld' reflejado y Allow-Credentials: true. Permite a sitio atacante leer respuestas autenticadas.
Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.
Hallazgo agrupado por similitud semántica (12 findings, 8 entidades)
CriticaML clustering identificó 12 findings similares afectando 8 entidades distintas. Categoría dominante: cors_permisivo. Severidades: {'critica': 12}. Muestra: CORS refleja Origin con Allow-Credentials en findeter.gov.co | CORS refleja Origin con Allow-Credentials en banrep.gov.co | CORS refleja Origin con Allow-Credentials en detourpanel.cundinamarca.gov.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
CORS refleja Origin con Allow-Credentials en dev.comfama.com
CriticaOrigin: 'https://evil-attacker.tld' reflejado y Allow-Credentials: true. Permite a sitio atacante leer respuestas autenticadas.
Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.
CORS refleja Origin con Allow-Credentials en www.comfama.com
CriticaOrigin: 'https://evil-attacker.tld' reflejado y Allow-Credentials: true. Permite a sitio atacante leer respuestas autenticadas.
Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.
CORS refleja Origin con Allow-Credentials en qa.comfama.com
CriticaOrigin: 'https://evil-attacker.tld' reflejado y Allow-Credentials: true. Permite a sitio atacante leer respuestas autenticadas.
Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.
Hallazgo agrupado por similitud semántica (196 findings, 196 entidades)
AltaML clustering identificó 196 findings similares afectando 196 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 196}. Muestra: DMARC en modo permisivo (quarantine en lugar de reject) | DMARC en modo quarantine (no reject) | DMARC en modo quarantine (no reject).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (111 findings, 111 entidades)
AltaML clustering identificó 111 findings similares afectando 111 entidades distintas. Categoría dominante: api_expuesta. Severidades: {'alta': 111}. Muestra: VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
VPN/Intranet alcanzable en DNS publico (1)
AltaHosts: intranet.comfama.com.
Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin registros CAA
Altadig CAA comfama.com retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
DMARC en modo quarantine (no reject)
Alta_dmarc.comfama.com publica politica permisiva.
Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @comfama.com contra ciudadanos del territorio.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Activos públicos (11)
educacion.comfama.com
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 40.114.3.196).
Observado: 2026-05-02
dev.comfama.com
ambiente no produccion
Tech: no fingerprint. Title: Comfama | Caja de Compensación Familiar de Antioquia
Observado: 2026-05-02
www.comfama.com
portal principal
Tech: no fingerprint. Title: Comfama | Caja de Compensación Familiar de Antioquia
Observado: 2026-05-02
cdn.comfama.com
subdominio
Server: AmazonS3
Tech: no fingerprint. Title: -
Observado: 2026-05-02
comfama.com
portal principal
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 162.215.226.3).
Observado: 2026-05-02
sonar.comfama.com
subdominio
Tech: no fingerprint. Title: SonarQube
Observado: 2026-05-02
intranet.comfama.com
intranet
Tech: no fingerprint. Title: -
Observado: 2026-05-02
cultura.comfama.com
subdominio
Tech: no fingerprint. Title: Charlas Perpetuas vol 258: ¡Celebremos Circulart en sus 15 años!
Observado: 2026-05-02
login.comfama.com
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02
autodiscover.comfama.com
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.90.40).
Observado: 2026-05-02
qa.comfama.com
subdominio
Tech: no fingerprint. Title: Comfama | Caja de Compensación Familiar de Antioquia
Observado: 2026-05-02