Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Crítico

Ministerio del Deporte

Rama Ejecutiva · Sector deporte · Ministerio

Resumen ejecutivoRiesgo MEDIO

Riesgo medio. Hallazgos de severidad alta principalmente en configuración de seguridad básica (DMARC, CAA, headers). Acción recomendada: publicar registros DMARC con política reject, habilitar HSTS y completar el set de headers de seguridad.

Total: 17Altas: 3Medias: 5
Cobertura80
Postura de seguridad25
Divulgación responsable0
Consistencia operativa60

Hallazgos (7)

Certificado SSL invalido en 5 ministerios

Alta

MinInterior, MinAgricultura, MinAmbiente, MinDefensa y MinDeporte presentan certificados SSL invalidos o no coincidentes en sus dominios.

Ministerios con SSL roto generan advertencias de seguridad en navegadores, erosionando la confianza institucional.

Posible hardcoded_password hardcoded en repo público que menciona mindeporte.gov.co

Alta

GitHub code search detecta patron 'hardcoded_password' en SANTIAGORF24/backend_registros (app/routes/ticket_routes.py). Fragmento: SMTP_SERVER = 'smtp.office365.com' SMTP_PORT = 587 SMTP_USERNAME = 'soportetics@mindeporte.gov.co' SMTP_PASSWORD = '#B0g0t0@2024*' bp = Blueprint("tickets", __name__, url_prefix="/tickets")

Codigo publico que menciona el dominio + patron tipo credencial sugiere fuga de secretos a traves de repos personales/contratistas. Validar manualmente si el secreto sigue activo o ya fue rotado.

DNSSEC ausente en mindeporte.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

DNS de mindeporte.gov.co totalmente fuera de Colombia

Media

NS records: ns-1689.awsdns-19.co.uk, ns-1489.awsdns-58.org, ns-987.awsdns-59.net, ns-276.awsdns-34.com

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

21 portales divulgan version exacta de software en headers

Media

Incluye nginx 1.14-1.24, Apache 2.4, IIS 7.5-10.0, awselb/2.0. Facilita identificacion de CVEs conocidos.

La divulgacion de version permite a atacantes buscar vulnerabilidades conocidas especificas para ese software.

83 portales cargan scripts externos sin verificacion de integridad

Media

83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

MinDeporte rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio del Deporte carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Portal de bajo riesgo relativo pero parte del ecosistema digital del Estado. Poblacion afectada: sector deportivo.

Activos públicos (1)

mindeporte.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: awselb/2.0

Observado: 2026-04-03