Adecuado

Ministerio de Comercio, Industria y Turismo

Rama Ejecutiva · Sector comercio · Ministerio

Resumen ejecutivoRiesgo CRÍTICO

Riesgo crítico. Se detectaron 1 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2021-22175). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 2 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: actualizar el stack tecnológico al menos a las versiones que parchean las CVE listadas en CISA KEV.

Total: 18Críticas: 1Altas: 2Medias: 5Sistémicas: 2CISA KEV: 1

Cobertura90

Postura de seguridad100

Divulgación responsable0

Consistencia operativa50

Hallazgos (7)

CISA KEV CVE-2021-22175: gitlab . en min-comercio (explotación activa documentada)

Critica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: vpn.mincit.gov.co, gitlab.mincit.gov.co

Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

Certificado wildcard cubre 1 dominios en mincit.gov.co

Media

Wildcards en SAN: *.mincit.gov.co. Total SAN: 2.

Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

DNSSEC ausente en mincit.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

DKIM no detectado en mincit.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

MinCIT rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Comercio, Industria y Turismo carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos comerciales y de propiedad industrial con valor competitivo. Poblacion afectada: sector empresarial colombiano.

83 portales cargan scripts externos sin verificacion de integridad

Media

83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

Activos públicos (1)

mincit.gov.co

portal principal

7/8

HTTPS

Certificado

HSTS

CSP

X-Frame-Options

X-Content-Type

Referrer-Policy

security.txt

Observado: 2026-04-03