Instituto Nacional de Metrologia

GET https://inm.gov.co/web.config~ retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/wp-config.php~ retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/wp-config.txt retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/dump.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/database.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/db.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/manager/html retorna HTTP 200. Banner Tomcat detectado.

Tomcat Manager es un objetivo recurrente de ataques con credenciales por defecto (tomcat/tomcat, admin/admin). Permite deploy de WAR con codigo arbitrario — RCE inmediato si credenciales son debiles.

GET https://www.inm.gov.co/wp-config.php.bak retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/wp-config.php~ retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/wp-config.bak retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/backup.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/dump.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/database.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://www.inm.gov.co/db.sql retorna HTTP 200 con un archivo descargable.

Los backups suelen contener: credenciales de DB en archivos de configuracion (.bak), volcados completos de tablas con datos personales, secretos de firma. Su exposicion es equivalente a comprometer el entorno productivo.

GET https://inm.gov.co/site.tar.gz retorna 200 con 4096 bytes.

Archivo comprimido en raiz del sitio sugiere backup completo o snapshot de codigo. Descargable = compromiso total de codigo + datos.

GET https://inm.gov.co/www.zip retorna 200 con 4096 bytes.

Archivo comprimido en raiz del sitio sugiere backup completo o snapshot de codigo. Descargable = compromiso total de codigo + datos.

GET https://inm.gov.co/wwwroot.zip retorna 200 con 4096 bytes.

Archivo comprimido en raiz del sitio sugiere backup completo o snapshot de codigo. Descargable = compromiso total de codigo + datos.

GET https://inm.gov.co/elmah.axd retorna 200.

ELMAH es un visor de errores que registra requests, headers y a veces session/cookies. Trace.axd es similar. Ambos exponen estado interno de la aplicacion en tiempo real.

GET https://storage.googleapis.com/nacional-files?list-type=2 retorna ListBucketResult — bucket es listable públicamente. Body sample: <?xml version='1.0' encoding='UTF-8'?><ListBucketResult xmlns='http://doc.s3.amazonaws.com/2006-03-01'><Name>nacional-files</Name><Prefix></Prefix><KeyCount>1</KeyCount><IsTruncated>false</IsTruncated

Un bucket cloud listable expone todos los objetos al público. Si la entidad lo creó para almacenamiento operacional, expone documentos, backups, archivos sensibles. Verificar ownership y bloquear acceso público inmediatamente.

Mismo patrón crítico detectado en 83 entidades del Estado: alc-arauca, alc-armenia, alc-bucaramanga, alc-cali, alc-cartago, alc-cucuta, alc-galapa, alc-girardot.... La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 7 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, andje, anla, coljuegos, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-palmira, alc-san-andres, andje, anla, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Mismo patrón crítico detectado en 6 entidades del Estado: alc-san-andres, andje, anla, icanh, icetex, inm. La repetición sugiere causa raíz compartida: stack común, integrador común, o configuración por defecto sin endurecer.

Cuando la misma vulnerabilidad afecta a ≥5 entidades, la causa raíz suele ser un proveedor compartido o una configuración heredada de un template institucional. Resolver en una entidad sin coordinar con MinTIC/CCOC deja el problema activo en N-1 entidades. Recomendación: alerta a Computer Security Incident Response Team gubernamental y boletín a las entidades afectadas.

Bucket cloud retorna ListBucketResult/EnumerationResults con ≥1 objetos visibles en primeros 64 KB. Muestras: teste/.

Un bucket cloud listable con N objetos visibles entrega un mapa completo del almacenamiento. Cada objeto es potencialmente descargable. Si la entidad usa el bucket para backups, documentos sensibles o assets internos, hay exfiltración masiva trivial.

ML clustering identificó 201 findings similares afectando 151 entidades distintas. Categoría dominante: configuracion_expuesta. Severidades: {'critica': 201}. Muestra: Bucket GCS público recursos-app asociable a adres | Bucket GCS público recursos-web asociable a adres | Bucket GCS público adr-test asociable a adr.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

ML clustering identificó 21 findings similares afectando 5 entidades distintas. Categoría dominante: backup_expuesto. Severidades: {'critica': 21}. Muestra: Archivo de backup '/backup.sql' accesible en defensajuridica.gov.co | Archivo de backup '/dump.sql' accesible en defensajuridica.gov.co | Archivo de backup '/database.sql' accesible en defensajuridica.gov.co.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

ML clustering identificó 6 findings similares afectando 6 entidades distintas. Categoría dominante: panel_admin_expuesto. Severidades: {'critica': 6}. Muestra: Tomcat Manager accesible en defensajuridica.gov.co (HTTP 200) | Tomcat Manager accesible en anla.gov.co (HTTP 200) | Tomcat Manager accesible en icetex.gov.co (HTTP 200).

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

ML clustering identificó 6 findings similares afectando 3 entidades distintas. Categoría dominante: backup_expuesto. Severidades: {'critica': 6}. Muestra: Archivo comprimido accesible: /site.tar.gz | Archivo comprimido accesible: /site.tar | Archivo comprimido accesible: /site.tar.gz.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2025-24813: Apache Tomcat Path Equivalence Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2025-04-01, dueDate gov US=2025-04-22).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2016-8735: Apache Tomcat Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2023-05-12, dueDate gov US=2023-06-02).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2017-12617: Apache Tomcat Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-25, dueDate gov US=2022-04-15).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2017-12615: Apache Tomcat on Windows Remote Code Execution Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-25, dueDate gov US=2022-04-15; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada tomcat 200 corresponde a vendor='apache' product='tomcat' con 5 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2020-1938: Apache Tomcat Improper Privilege Management Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-03-03, dueDate gov US=2022-03-17).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

La versión detectada php . corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.