Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Necesita mejora

Industria Militar

Rama Ejecutiva · Sector defensa · Empresa industrial y comercial del Estado

Resumen ejecutivoRiesgo ALTO

Riesgo alto. Hallazgos de severidad alta principalmente en configuración de seguridad básica (DMARC, CAA, headers). Acción recomendada: publicar registros DMARC con política reject, habilitar HSTS y completar el set de headers de seguridad.

Total: 12Altas: 3Medias: 3Sistémicas: 1
Cobertura90
Postura de seguridad65
Divulgación responsable0
Consistencia operativa25

Hallazgos (6)

Certificado SSL invalido en 12 entidades adicionales

Alta

ADR, ICETEX, ANLA, ICFES, ICA, DANE, ANDJE, ARN, INDUMIL, Banco Agrario, Policia Nacional y Armada presentan SSL invalido.

Un total de 17 portales del Estado tienen SSL que genera advertencias de seguridad en navegadores.

Hallazgo agrupado por similitud semántica (32 findings, 32 entidades)

Alta

ML clustering identificó 32 findings similares afectando 32 entidades distintas. Categoría dominante: tracking_sin_consentimiento. Severidades: {'alta': 32}. Muestra: ANDJE rastrea ciudadanos con servicios de rastreo | BANCOLDEX rastrea ciudadanos con servicios de rastreo | CNE rastrea ciudadanos con servicios de rastreo.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

INDUMIL rastrea ciudadanos con servicios de rastreo

Alta

El portal de Industria Militar carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. INDUMIL fabrica y comercializa armas y explosivos. Datos de clientes, inventarios de armamento y explosivos son informacion de seguridad nacional. Poblacion afectada: fuerzas armadas y compradores de armas.

DNSSEC ausente en indumil.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

33 portales no funcionan en su dominio raiz

Media

El 30% de los portales no responde sin www. Los ciudadanos que escriben dian.gov.co o fiscalia.gov.co obtienen errores.

Problema basico de configuracion DNS solucionable en minutos que afecta la accesibilidad de los servicios del Estado.

83 portales cargan scripts externos sin verificacion de integridad

Media

83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

Activos públicos (1)

indumil.gov.co

portal principal

5/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Apache

Observado: 2026-04-03