Ministerio de Educacion Nacional
Rama Ejecutiva · Sector educacion · Ministerio
Riesgo alto. Se identificaron 2 hallazgos críticos. Adicionalmente, 2 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Mantener monitoreo y completar implementación de buenas prácticas básicas (security.txt, DMARC, headers).
Hallazgos (14)
Subdominios sensibles nuevos descubiertos en wordlist extendida (2)
AltaHosts: intranet.mineducacion.gov.co, vpn.mineducacion.gov.co
Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.
Certificado wildcard cubre 1 dominios en mineducacion.gov.co
MediaWildcards en SAN: *.mineducacion.gov.co. Total SAN: 1.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en mineducacion.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400258:9-Informativas listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400258:9-Informativas retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400253:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400253:6-Informacion-y-Comunicacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Activos públicos (1)
mineducacion.gov.co
portal principal
Server: Apache
Redireccion 301. Dominio raiz no responde.
Observado: 2026-04-03