Caja de Compensación Familiar Compensar — EPS
Rama Ejecutiva · Sector salud · EPS — Entidad Promotora de Salud
Riesgo alto. Hallazgos de severidad alta principalmente en configuración de seguridad básica (DMARC, CAA, headers). Mantener monitoreo y completar implementación de buenas prácticas básicas (security.txt, DMARC, headers).
Hallazgos (5)
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin registros CAA
Altadig CAA compensar.com retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
Headers exponen versiones de stack en 1 hosts
MediaEjemplos: test.compensar.com: X-Powered-By=PHP/8.1.29.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Headers de seguridad insuficientes (0/8)
MediaApex compensar.com solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Activos públicos (10)
www.compensar.com
portal principal
Tech: no fingerprint. Title: Compensar | Caja de Compensación Familiar y EPS
Observado: 2026-05-02
apps.compensar.com
subdominio
HTTPS error: <urlopen error [SSL: UNSAFE_LEGACY_RENEGOTIATION_DISABLED] unsafe legacy renegotiation disabled (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 190.144.146.56).
Observado: 2026-05-02
movilidad.compensar.com
subdominio
HTTPS error: Remote end closed connection without response. FQDN publicado en DNS publico (IP 190.144.146.55).
Observado: 2026-05-02
test.compensar.com
ambiente no produccion
Server: nginx
Tech: Nginx. Title: sealmail
Observado: 2026-05-02
autodiscover.compensar.com
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.9.8).
Observado: 2026-05-02
files.compensar.com
subdominio
Server: Microsoft-IIS/10.0
Tech: IIS 10. Title: 403 - Forbidden: Access is denied.
Observado: 2026-05-02
documentos.compensar.com
subdominio
HTTPS error: <urlopen error [SSL: UNEXPECTED_EOF_WHILE_READING] EOF occurred in violation of protocol (_ssl.c:1016)>. FQDN publicado en DNS publico (IP 142.251.132.179).
Observado: 2026-05-02
turismo.compensar.com
subdominio
Server: nginx
Tech: Nginx, WordPress. Title: Turismo Compensar | Planes turísticos y vacacionales ✈️
Observado: 2026-05-02
mail.compensar.com
Tech: no fingerprint. Title: -
Observado: 2026-05-02
seguridad.compensar.com
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02