Ministerio de Hacienda y Credito Publico

ML clustering identificó 7 findings similares afectando 7 entidades distintas. Categoría dominante: cors_permisivo. Severidades: {'alta': 7}. Muestra: CORS mal configurado en Agencia para la Reincorporacion y la Normalizacion | CORS mal configurado en Banco de la Republica | CORS mal configurado en Corte Suprema de Justicia.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

El portal de Ministerio de Hacienda y Credito Publico acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Informacion fiscal sensible que afecta mercados financieros y calificaciones de riesgo soberano. Poblacion afectada: todo el sector publico y mercado financiero.

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

NS records: ns4-08.azure-dns.info, ns3-08.azure-dns.org, ns2-08.azure-dns.net, ns1-08.azure-dns.com

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

83 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). Un CDN comprometido podria inyectar codigo malicioso.

Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

Server: rdwr

Radware. Dominio raiz no responde. Solo HSTS en www.

Observado: 2026-04-03