Postura adecuada

Ejercito Nacional de Colombia

Rama Ejecutiva · Sector defensa · Otra entidad

ResumenRiesgo MEDIO

Ejercito presenta riesgo medio: tiene 8 hallazgos activos publicados, de los cuales 1 requiere atención prioritaria (1 alto). La prioridad es restringir accesos o configuraciones visibles públicamente y validar que no queden servicios sensibles abiertos sin control. Los temas que más inciden son datos personales y terceros; configuraciones visibles públicamente; y dependencia de infraestructura externa.

Siguiente paso: asignar responsable, fecha de corrección y evidencia de cierre; si un riesgo no se corrige, aceptarlo formalmente con dueño y fecha de revisión.

Descripción técnica

Se registran 8 hallazgos activos publicados: 1 alto y 7 medios.

Señales técnicas principales: Ejercito carga Google Analytics/Tag Manager en la portada: La portada actual carga Google Tag Manager/Analytics mediante googletagmanager.com/gtag/js?id=G-GSFQN2N6ZE antes de observar una senal pasiva de consentimiento previo. Ejercito: rutas inexistentes retornan 200 en parte del portal: El portal actual en www.ejercito.mil.co retorna HTTP 200 para rutas inexistentes como /__estado_seguro_probe_20260627, /aws.json y /security.txt, aunque rutas sensibles como /.env y /web.config.bak ya devuelven 403 y... DNS de ejercito.mil.co delegado completamente en Cloudflare: La delegacion NS actual de ejercito.mil.co usa tom.ns.cloudflare.com y tegan.ns.cloudflare.com; no se observaron nameservers bajo infraestructura colombiana propia.

Focos técnicos dominantes: rastreo de ciudadanos y tratamiento de datos; configuración pública anómala; y dependencia de infraestructura externa.

Publicados: 8Altos: 1Medios: 7
Cobertura100
Postura de seguridad100
Divulgación responsable0
Consistencia operativa100

Hallazgos (8)

Ejercito carga Google Analytics/Tag Manager en la portada

Alta

La portada actual carga Google Tag Manager/Analytics mediante googletagmanager.com/gtag/js?id=G-GSFQN2N6ZE antes de observar una senal pasiva de consentimiento previo.

La analitica de terceros en un portal militar debe contar con base legal, minimizacion y controles de consentimiento claros, porque puede exponer patrones de navegacion de ciudadanos, aspirantes, personal militar o familiares.

DNSSEC ausente en ejercito.mil.co

Media

La consulta DS para ejercito.mil.co no devuelve registros en la zona padre al 2026-06-27.

Sin DNSSEC, la integridad de resolucion DNS depende por completo del canal de resolucion y de los proveedores intermedios; conviene evaluar firma de zona para dominios institucionales sensibles.

DNS de ejercito.mil.co delegado completamente en Cloudflare

Media

La delegacion NS actual de ejercito.mil.co usa tom.ns.cloudflare.com y tegan.ns.cloudflare.com; no se observaron nameservers bajo infraestructura colombiana propia.

La dependencia completa de DNS externo concentra disponibilidad, telemetria de resolucion y control operativo en un tercero; debe estar cubierta por gestion contractual, monitoreo y evaluacion de transferencia internacional de datos cuando aplique.

Ejercito: certificado wildcard vigente en dominio principal

Media

El certificado TLS vigente para ejercito.mil.co y www.ejercito.mil.co incluye SAN ejercito.mil.co y *.ejercito.mil.co; la cadena valida correctamente y vence el 2026-08-06.

Los certificados wildcard amplian el radio de impacto si una llave privada o un subdominio queda comprometido. No es una falla TLS activa, sino una decision de confianza que debe inventariarse y controlarse.

82 portales cargan scripts externos sin verificacion de integridad

Media

82 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). MinSalud se retiro del agregado tras verificacion pasiva del 2026-06-27 que no observo scripts externos en la portada.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

Ejercito: rutas inexistentes retornan 200 en parte del portal

Media

El portal actual en www.ejercito.mil.co retorna HTTP 200 para rutas inexistentes como /__estado_seguro_probe_20260627, /aws.json y /security.txt, aunque rutas sensibles como /.env y /web.config.bak ya devuelven 403 y algunas rutas internas retornan 404.

Responder 200 para rutas inexistentes reduce observabilidad y dificulta diferenciar contenido real de fallback de aplicacion. Debe configurarse un 404 consistente para rutas no mapeadas, manteniendo bloqueos 403 para rutas sensibles.

Ejercito: CSP permisiva pese a headers principales presentes

Media

La portada actual alcanza 7/8 controles evaluados: mantiene HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy y X-XSS-Protection, pero omite COOP y la CSP permite unsafe-inline, unsafe-eval y fuentes amplias https:/data:/blob:.

Una CSP permisiva y la ausencia de aislamiento COOP reducen defensa en profundidad frente a inyecciones, ejecucion de scripts no esperados y exposicion entre contextos del navegador.

Ejercito: sin security.txt valido en rutas estandar

Media

/.well-known/security.txt devuelve HTTP 404 y /security.txt retorna una pagina HTML de la aplicacion sin campo Contact valido, por lo que no se detecta un security.txt publico conforme a RFC 9116.

Un security.txt valido reduce friccion para recibir reportes coordinados de vulnerabilidades y ayuda a priorizar canales de contacto verificables.

Soluciones recomendadas

Qué necesita Ejercito

Acciones derivadas directamente de los hallazgos observados en esta entidad.

Inmediatas

Cifrado obligatorio en todos los portales

  • Activar HTTPS correctamente en todos los portales y subdominios.
  • Corregir certificados vencidos o mal configurados.
  • Habilitar HSTS para obligar conexiones seguras.
  • Revisar que no haya contenido mixto cargando por HTTP.

Firewall y protección perimetral

  • Implementar o fortalecer un WAF (firewall de aplicaciones web).
  • Bloquear tráfico sospechoso.
  • Limitar acceso a rutas sensibles como /admin, /administrator, /api, /dev, /intranet.
  • Aplicar reglas contra inyección, scraping agresivo, fuerza bruta y escaneo automatizado.

Protección contra suplantación de correo

  • Configurar SPF, DKIM y DMARC.
  • Llevar DMARC progresivamente a política estricta: reject.
  • Monitorear reportes de suplantación.
  • Bloquear dominios similares usados para phishing.

Headers de seguridad

  • Activar Content-Security-Policy.
  • Activar X-Frame-Options o frame-ancestors.
  • Activar X-Content-Type-Options, Referrer-Policy y Permissions-Policy.
  • Eliminar headers que revelan tecnología, como X-Powered-By.

Mantenimiento técnico

Control de certificados

  • Publicar registros CAA para definir qué autoridades pueden emitir certificados del dominio.
  • Monitorear Certificate Transparency.
  • Renovar certificados automáticamente.
  • Detectar certificados sospechosos o no autorizados.

Canal de divulgación responsable

  • Publicar security.txt (RFC 9116).
  • Definir un correo oficial para reportes de seguridad.
  • Crear un procedimiento interno para recibir, validar y corregir vulnerabilidades.

Gestión de datos personales

  • Revisar formularios, PQRS, trámites y APIs que procesan datos ciudadanos.
  • Minimizar los datos expuestos.
  • Cifrar datos sensibles en tránsito y en reposo.
  • Aplicar controles de acceso y trazabilidad.

Hardening institucional

  • Configuraciones seguras por defecto y plantillas web endurecidas.
  • Revisión de seguridad antes de publicar nuevos portales.
  • Separación clara entre producción, pruebas, desarrollo e intranet.

Cómo sostenerlo

  • Política de mínimos de seguridad web. Estándar obligatorio para todos los portales (HTTPS, HSTS, DMARC, headers, backups, logs, actualizaciones, monitoreo), exigible a proveedores.
  • Cláusulas de ciberseguridad en contratos. Obligar mínimos técnicos, SLA de corrección por severidad, evidencias de parcheo y derecho de auditoría.
  • Monitoreo continuo. No una revisión anual: alertar ante cada nuevo subdominio, certificado, API o tecnología vulnerable, y medir la postura por entidad y proveedor.
  • Modelo de remediación coordinada. Cuando un hallazgo se repite en muchas entidades, corregir la causa raíz (proveedor, plantilla o configuración común) para cerrar el riesgo en bloque.
  • Indicadores para la alta dirección. Tiempo promedio de corrección, hallazgos críticos abiertos, % de entidades con DMARC y HSTS, activos expuestos sin responsable, riesgo por proveedor.
  • EstadoSeguro no solo detecta vulnerabilidades; permite priorizar soluciones.
  • No reemplaza a su equipo de TI: le da visibilidad, evidencia y orden.
  • No es una auditoría anual: es monitoreo continuo de la superficie pública.
  • No busca señalar culpables: busca cerrar brechas antes de que se conviertan en incidentes.
  • Convierte el riesgo técnico en decisiones ejecutivas: qué corregir, quién responde y qué hacer primero.
Solicitar diagnóstico

Cronología de hallazgos

2026-04-042026-06-27

Nuevos

6

Activos

8

Pendientes

0

Solucionados

1

Activos públicos (1)

ejercito.mil.co

portal principal

7/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: cloudflare

Targeted passive refresh for ejercito. Server: cloudflare.

Observado: 2026-06-27