Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Crítico

Contraloría General de Santiago de Cali

Organismos de Control · Sector control · Contraloría territorial

Resumen ejecutivoRiesgo CRÍTICO

Riesgo crítico. La entidad acumula 5 hallazgos críticos verificados. La superficie de ataque concurrente sugiere falta de auditoría reciente y configuraciones por defecto sin endurecer. Mantener monitoreo y completar implementación de buenas prácticas básicas (security.txt, DMARC, headers).

Total: 38Críticas: 5Medias: 4Sistémicas: 1
Cobertura100
Postura de seguridad15
Divulgación responsable0
Consistencia operativa100

Hallazgos (4)

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: archivos.contraloriacali.gov.co: X-Powered-By=PHP/5.6.40.

Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.contraloriacali.gov.co, archivos.contraloriacali.gov.co, contraloriacali.gov.co.

Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriacali.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Activos públicos (6)

presupuesto.contraloriacali.gov.co

subdominio

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 192.29.61.237).

Observado: 2026-05-02

autodiscover.contraloriacali.gov.co

email

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.122.8).

Observado: 2026-05-02

www.contraloriacali.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Apache/2.4.37 (Oracle Linux Server) OpenSSL/1.1.1k

Tech: Apache, Joomla. Title: Inicio

Observado: 2026-05-02

mail.contraloriacali.gov.co

email

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 192.29.61.237).

Observado: 2026-05-02

archivos.contraloriacali.gov.co

subdominio

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Apache/2.4.37 (Oracle Linux Server) OpenSSL/1.1.1k

Tech: Apache, PHP 5 (EOL). Title: Colecciones

Observado: 2026-05-02

contraloriacali.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Apache/2.4.37 (Oracle Linux Server) OpenSSL/1.1.1k

Tech: Apache, Joomla. Title: Inicio

Observado: 2026-05-02