Consejo de Estado

Rama Judicial · alta corte

Cobertura

100

Postura de seguridad

Divulgacion responsable

Consistencia operativa

100

Activos publicos (2)

samai.consejodeestado.gov.co

sistema

HTTPS

Certificado

HSTS

CSP

X-Frame-Options

X-Content-Type

Referrer-Policy

security.txt

API BusquedaDictionary expone 140K+ providencias sin autenticacion. Datos personales de actores y demandados accesibles. JWT predecibles.

Observado: 2026-04-03

consejodeestado.gov.co

portal principal

HTTPS

Certificado

HSTS

CSP

X-Frame-Options

X-Content-Type

Referrer-Policy

security.txt

Cero headers de seguridad. Version completa de nginx divulgada.

Observado: 2026-04-03

Hallazgos (3)

Exposicion masiva de datos personales en 140.530+ procesos judiciales

critica

La API del sistema SAMAI del Consejo de Estado permite consultar nombres de actores y demandados sin autenticacion. ~280.000 personas expuestas.

Potencial violacion de Ley 1581/2012 de Habeas Data. Incluye procesos de tutela con proteccion constitucional especial.

30 portales del Estado sin ningun header de seguridad (0/8)

alta

El 27% de los portales observados no implementa ninguno de los 8 headers de seguridad estandar. Incluye Cancilleria, DIAN, Fiscalia, Corte Constitucional, Consejo de Estado, JEP, FAC, ICBF, INVIMA, Ecopetrol, Banco de la Republica, entre otros.

Los headers de seguridad son configurables en minutos. Su ausencia masiva indica deficiencia sistemica en la gobernanza de seguridad digital del Estado.

21 portales divulgan version exacta de software en headers

media

Incluye nginx 1.14-1.24, Apache 2.4, IIS 7.5-10.0, awselb/2.0. Facilita identificacion de CVEs conocidos.

La divulgacion de version permite a atacantes buscar vulnerabilidades conocidas especificas para ese software.