Ministerio de Educacion Nacional
Rama Ejecutiva · Sector educacion · Ministerio
MinEducacion presenta riesgo medio: tiene 18 hallazgos activos publicados, de los cuales 2 requieren atención prioritaria (2 altos). La prioridad es restringir accesos o configuraciones visibles públicamente y validar que no queden servicios sensibles abiertos sin control. Los temas que más inciden son exposición pública de servicios, suplantación institucional y controles básicos del portal.
Siguiente paso: asignar responsable, fecha de corrección y evidencia de cierre; si un riesgo no se corrige, aceptarlo formalmente con dueño y fecha de revisión.
Descripción técnica
Se registran 18 hallazgos activos publicados: 2 altos y 16 medios.
Señales técnicas principales: Subdominios sensibles nuevos descubiertos en wordlist extendida (2): Hosts: intranet.mineducacion.gov.co, vpn.mineducacion.gov.co MinEducacion: Dominio con riesgo de suplantación por correo: El dominio mineducacion.gov.co mantiene una configuración SPF/DMARC que no aplica una política de rechazo efectiva frente a mensajes no autenticados o no alineados. MinEducacion: endurecimiento web incompleto en respuesta publica: La respuesta publica de MinEducacion mantiene endurecimiento web incompleto: faltan HSTS, Referrer-Policy y Permissions-Policy.
Focos técnicos dominantes: subdominios, APIs o paneles expuestos; autenticación de correo; y headers, cookies y endurecimiento web.
Hallazgos (18)
Subdominios sensibles nuevos descubiertos en wordlist extendida (2)
AltaHosts: intranet.mineducacion.gov.co, vpn.mineducacion.gov.co
Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.
MinEducacion: Dominio con riesgo de suplantacion por correo
AltaEl dominio mineducacion.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.
SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.
Certificado wildcard cubre 1 dominios en mineducacion.gov.co
MediaWildcards en SAN: *.mineducacion.gov.co. Total SAN: 1.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en mineducacion.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400258:9-Informativas listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400258:9-Informativas retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420322: listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420322: retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2020/ listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2020/ retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400253:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400253:6-Informacion-y-Comunicacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente
MediaGET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados retorna 200.
robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.
MinEducacion: endurecimiento web incompleto en respuesta publica
MediaLa respuesta publica de MinEducacion mantiene endurecimiento web incompleto: faltan HSTS, Referrer-Policy y Permissions-Policy.
Headers de seguridad incompletos reducen defensas del navegador contra filtrado de contexto, degradacion de transporte y abuso de capacidades del navegador.
Soluciones recomendadas
Qué necesita MinEducacion
Acciones derivadas directamente de los hallazgos observados en esta entidad.
Inmediatas
Cifrado obligatorio en todos los portales
- Activar HTTPS correctamente en todos los portales y subdominios.
- Corregir certificados vencidos o mal configurados.
- Habilitar HSTS para obligar conexiones seguras.
- Revisar que no haya contenido mixto cargando por HTTP.
Cierre de subdominios expuestos
- Retirar de DNS público ambientes como dev, intranet, apps, digiturno o pqrs si no deben ser públicos.
- Mover intranets y ambientes internos detrás de VPN.
- Exigir autenticación fuerte para cualquier sistema administrativo.
Headers de seguridad
- Activar Content-Security-Policy.
- Activar X-Frame-Options o frame-ancestors.
- Activar X-Content-Type-Options, Referrer-Policy y Permissions-Policy.
- Eliminar headers que revelan tecnología, como X-Powered-By.
Mantenimiento técnico
Protección de APIs
- Exigir autenticación.
- Implementar rate limiting.
- Validar permisos por usuario y rol.
- Evitar que las APIs revelen datos personales, errores internos o estructuras del sistema.
Control de certificados
- Publicar registros CAA para definir qué autoridades pueden emitir certificados del dominio.
- Monitorear Certificate Transparency.
- Renovar certificados automáticamente.
- Detectar certificados sospechosos o no autorizados.
Hardening institucional
- Configuraciones seguras por defecto y plantillas web endurecidas.
- Revisión de seguridad antes de publicar nuevos portales.
- Separación clara entre producción, pruebas, desarrollo e intranet.
Cómo sostenerlo
- Política de mínimos de seguridad web. Estándar obligatorio para todos los portales (HTTPS, HSTS, DMARC, headers, backups, logs, actualizaciones, monitoreo), exigible a proveedores.
- Cláusulas de ciberseguridad en contratos. Obligar mínimos técnicos, SLA de corrección por severidad, evidencias de parcheo y derecho de auditoría.
- Monitoreo continuo. No una revisión anual: alertar ante cada nuevo subdominio, certificado, API o tecnología vulnerable, y medir la postura por entidad y proveedor.
- Modelo de remediación coordinada. Cuando un hallazgo se repite en muchas entidades, corregir la causa raíz (proveedor, plantilla o configuración común) para cerrar el riesgo en bloque.
- Indicadores para la alta dirección. Tiempo promedio de corrección, hallazgos críticos abiertos, % de entidades con DMARC y HSTS, activos expuestos sin responsable, riesgo por proveedor.
- EstadoSeguro no solo detecta vulnerabilidades; permite priorizar soluciones.
- No reemplaza a su equipo de TI: le da visibilidad, evidencia y orden.
- No es una auditoría anual: es monitoreo continuo de la superficie pública.
- No busca señalar culpables: busca cerrar brechas antes de que se conviertan en incidentes.
- Convierte el riesgo técnico en decisiones ejecutivas: qué corregir, quién responde y qué hacer primero.
Cronología de hallazgos
2026-04-30 → 2026-06-27Nuevos
18
Activos
18
Pendientes
0
Solucionados
0
MinEducacion: endurecimiento web incompleto en respuesta publica
Apareció: 2026-06-27 · Revisado: 2026-06-27
MinEducacion: Dominio con riesgo de suplantacion por correo
Apareció: 2026-06-26 · Revisado: 2026-06-27
Certificado wildcard cubre 1 dominios en mineducacion.gov.co
Apareció: 2026-04-30 · Revisado: 2026-06-27
DNSSEC ausente en mineducacion.gov.co
Apareció: 2026-04-30 · Revisado: 2026-06-27
Subdominios sensibles nuevos descubiertos en wordlist extendida (2)
Apareció: 2026-04-30 · Revisado: 2026-06-27
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-05-17
Ruta /portal//400258:9-Informativas listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-05-17
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-05-17
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420322: listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-06-28
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2020/ listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-06-28
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-05-17
Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: listada en Disallow es accesible publicamente
Apareció: 2026-04-30 · Revisado: 2026-05-17
+ 6 eventos adicionales en el API de cronología.
Activos públicos (1)
mineducacion.gov.co
portal principal
Targeted passive refresh for min-educacion. Server: unknown.
Observado: 2026-06-27