Centro Nacional de Memoria Historica
Rama Ejecutiva · Sector cultura · Establecimiento público
Riesgo crítico. Se detectaron 1 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2024-4577). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 12 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: actualizar el stack tecnológico al menos a las versiones que parchean las CVE listadas en CISA KEV.
Hallazgos (42)
CVE-2019-11043: PHP-FPM heap overflow — RCE preauth
CriticaStack PHP 7.2 (EOL nov-2020) detectado. CVE-2019-11043 afecta esta version y permite el comportamiento descrito sin parche post-EOL.
Idem CVE-2019-11043. PHP 7.0-7.3 vulnerable sin parche.
Bucket GCS público nacional-files asociable a cnmh
CriticaGET https://storage.googleapis.com/nacional-files?list-type=2 retorna ListBucketResult — bucket es listable públicamente. Body sample: <?xml version='1.0' encoding='UTF-8'?><ListBucketResult xmlns='http://doc.s3.amazonaws.com/2006-03-01'><Name>nacional-files</Name><Prefix></Prefix><KeyCount>1</KeyCount><IsTruncated>false</IsTruncated
Un bucket cloud listable expone todos los objetos al público. Si la entidad lo creó para almacenamiento operacional, expone documentos, backups, archivos sensibles. Verificar ownership y bloquear acceso público inmediatamente.
SPF ausente en centrodememoriahistorica.gov.co
AltaNo hay registro v=spf1 publicado.
Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @centrodememoriahistorica.gov.co. Spoofing trivial contra ciudadanos y proveedores.
Stack EOL 'PHP 7.2 (EOL)' presente en 6 entidades del Estado
AltaEntidades con esta tech: alc-cali, car-cda, cnmh, ese-hd-villavicencio, gob-casanare, gob-quindio
Software fuera de soporte (PHP 7.2 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.
WordPress REST expone listado de usuarios en centrodememoriahistorica.gov.co
AltaGET https://centrodememoriahistorica.gov.co/wp-json/wp/v2/users retorna JSON con usuarios (id/name/slug). Sample: [{"id":9,"name":"CNMH","url":"","description":"","link":"https:\/\/centrodememoriahistorica.gov.co\/author\/fredy\/","slug":"fredy","avatar_urls":{"24":"https:\/\/secure.gravatar.com\/avatar\/7f2150
El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.
robots.txt revela 2 ruta(s) sensibles en centrodememoriahistorica.gov.co
MediaDisallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.
robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.
Certificado wildcard cubre 1 dominios en centrodememoriahistorica.gov.co
MediaWildcards en SAN: *.centrodememoriahistorica.gov.co. Total SAN: 2.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en centrodememoriahistorica.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
DKIM no detectado en centrodememoriahistorica.gov.co (selectores comunes)
MediaProbados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.
Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.
Bucket S3 privado existe con nombre cnmh
InfoGET https://cnmh.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre nacional
InfoGET https://storage.googleapis.com/nacional retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre nacional-data
InfoGET https://storage.googleapis.com/nacional-data retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre centro
InfoGET https://centro.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre centro
InfoGET https://storage.googleapis.com/centro retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre centro-staging
InfoGET https://centro-staging.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre centro-backup
InfoGET https://centro-backup.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre centro-backup
InfoGET https://storage.googleapis.com/centro-backup retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS privado existe con nombre centro-uploads
InfoGET https://storage.googleapis.com/centro-uploads retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre centro-public
InfoGET https://centro-public.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket S3 privado existe con nombre centro-private
InfoGET https://centro-private.s3.amazonaws.com retorna 403 AccessDenied (bucket existe, no listable). Sugiere infraestructura cloud asociada a la entidad.
Bucket existe pero está cerrado al público. Útil como pista de inventario cloud — en un escenario de takeover (entidad deja de pagar AWS), un atacante podría reclamar el nombre. Recomendación: documentar y monitorear.
Bucket GCS público centro-media asociable a cnmh
CriticaGET https://storage.googleapis.com/centro-media?list-type=2 retorna ListBucketResult — bucket es listable públicamente. Body sample: <?xml version='1.0' encoding='UTF-8'?><ListBucketResult xmlns='http://doc.s3.amazonaws.com/2006-03-01'><Name>centro-media</Name><Prefix></Prefix><KeyCount>7</KeyCount><IsTruncated>false</IsTruncated><
Un bucket cloud listable expone todos los objetos al público. Si la entidad lo creó para almacenamiento operacional, expone documentos, backups, archivos sensibles. Verificar ownership y bloquear acceso público inmediatamente.
Stack tecnologico fuera de soporte: PHP 7.2 (EOL)
CriticaApex centrodememoriahistorica.gov.co reporta: PHP 7.2 (EOL), PHP EOL (PHP/7.2.30).
Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.
Hallazgo sistémico en 83 entidades — Hallazgo sistémico
CriticaMismo patrón crítico detectado en 83 entidades del Estado: alc-arauca, alc-armenia, alc-bucaramanga, alc-cali, alc-cartago, alc-cucuta, alc-galapa, alc-girardot.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.
Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.
Hallazgo sistémico en 9 entidades — CVE-2019-11043: PHP-FPM heap overflow — RCE preauth
CriticaMismo patrón crítico detectado en 9 entidades del Estado: alc-cali, alc-ibague, car-cda, car-crc-cauca, cnmh, emp-eaab, gob-casanare, gob-cesar.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.
Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.
Bucket cloud público con 1+ objetos listables asociado a cnmh
CriticaBucket cloud retorna ListBucketResult/EnumerationResults con ≥1 objetos visibles en primeros 64 KB. Muestras: teste/.
Un bucket cloud listable con N objetos visibles entrega un mapa completo del almacenamiento. Cada objeto es potencialmente descargable. Si la entidad usa el bucket para backups, documentos sensibles o assets internos, hay exfiltración masiva trivial.
Bucket cloud público con 7+ objetos listables asociado a cnmh
CriticaBucket cloud retorna ListBucketResult/EnumerationResults con ≥7 objetos visibles en primeros 64 KB. Muestras: articles/6e647438-cf77-4e65-825a-4f629789df69/1773741704165.png, avatars/001/1773671088238.jpg, avatars/001/1773671097110.jpg, avatars/5tJrhMC1pgfZbwEFgnbsysfKafM2/1775025493086.jpg, avatars/dc128bb5-e29c-43db-96f9-b5d53b9b2887/1775025519384.jpg.
Un bucket cloud listable con N objetos visibles entrega un mapa completo del almacenamiento. Cada objeto es potencialmente descargable. Si la entidad usa el bucket para backups, documentos sensibles o assets internos, hay exfiltración masiva trivial.
Hallazgo agrupado por similitud semántica (201 findings, 151 entidades)
CriticaML clustering identificó 201 findings similares afectando 151 entidades distintas. Categoría dominante: configuracion_expuesta. Severidades: {'critica': 201}. Muestra: Bucket GCS público recursos-app asociable a adres | Bucket GCS público recursos-web asociable a adres | Bucket GCS público adr-test asociable a adr.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (21 findings, 21 entidades)
CriticaML clustering identificó 21 findings similares afectando 21 entidades distintas. Categoría dominante: software_obsoleto. Severidades: {'critica': 21}. Muestra: Stack tecnologico fuera de soporte: PHP 7.4 (EOL) | Stack tecnologico fuera de soporte: PHP 5 (EOL) | Stack tecnologico fuera de soporte: PHP 7.4 (EOL).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (5 findings, 5 entidades)
CriticaML clustering identificó 5 findings similares afectando 5 entidades distintas. Categoría dominante: dependencias_vulnerables. Severidades: {'critica': 5}. Muestra: CVE-2019-11043: PHP-FPM heap overflow — RCE preauth | CVE-2019-11043: PHP-FPM heap overflow — RCE preauth | CVE-2019-11043: PHP-FPM heap overflow — RCE preauth.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
CISA KEV CVE-2024-4577: php 7.2 en cnmh (explotación activa documentada; en uso por ransomware activo)
CriticaLa versión detectada php 7.2 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
VPN/Intranet alcanzable en DNS publico (1)
AltaHosts: intranet.centrodememoriahistorica.gov.co.
Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.
Sin registros CAA
Altadig CAA centrodememoriahistorica.gov.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
Sin DMARC publicado
Alta_dmarc.centrodememoriahistorica.gov.co no devuelve registro TXT.
Sin DMARC, cualquier atacante puede suplantar correos @centrodememoriahistorica.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (111 findings, 111 entidades)
AltaML clustering identificó 111 findings similares afectando 111 entidades distintas. Categoría dominante: api_expuesta. Severidades: {'alta': 111}. Muestra: VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1) | VPN/Intranet alcanzable en DNS publico (1).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (94 findings, 94 entidades)
AltaML clustering identificó 94 findings similares afectando 94 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 94}. Muestra: Sin DMARC publicado | Sin DMARC publicado | Sin DMARC publicado.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (69 findings, 41 entidades)
AltaML clustering identificó 69 findings similares afectando 41 entidades distintas. Categoría dominante: divulgacion_informacion. Severidades: {'alta': 69}. Muestra: WordPress REST expone listado de usuarios en prosperidadsocial.gov.co | WordPress REST expone listado de usuarios en relatoria.colombiacompra.gov.co | WordPress REST expone listado de usuarios en esap.edu.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (21 findings, 21 entidades)
AltaML clustering identificó 21 findings similares afectando 21 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 21}. Muestra: SPF ausente en secretariasenado.gov.co | SPF ausente en gov.co | SPF ausente en relatoria.colombiacompra.gov.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (5 findings, 37 entidades)
AltaML clustering identificó 5 findings similares afectando 37 entidades distintas. Categoría dominante: software_obsoleto. Severidades: {'alta': 5}. Muestra: Stack EOL 'IIS 8.5 (Win 2012 R2 EOL)' presente en 14 entidades del Estado | Stack EOL 'PHP 7.4 (EOL)' presente en 13 entidades del Estado | Stack EOL 'PHP 7.3 (EOL)' presente en 3 entidades del Estado.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Headers exponen versiones de stack en 1 hosts
MediaEjemplos: centrodememoriahistorica.gov.co: X-Powered-By=PHP/7.2.30.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Headers de seguridad insuficientes (0/8)
MediaApex centrodememoriahistorica.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Activos públicos (3)
intranet.centrodememoriahistorica.gov.co
intranet
HTTPS error: <urlopen error [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 190.60.80.135).
Observado: 2026-05-02
centrodememoriahistorica.gov.co
portal principal
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/7.2.30
Tech: Apache, PHP 7.2 (EOL), WordPress. Title: Centro Nacional de Memoria Histórica
Observado: 2026-05-02
www.centrodememoriahistorica.gov.co
portal principal
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 190.71.193.23).
Observado: 2026-05-02