Servicio Geologico Colombiano

El portal en sgc.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

ML clustering identificó 10 findings similares afectando 10 entidades distintas. Categoría dominante: divulgacion_informacion. Severidades: {'alta': 10}. Muestra: URLs de ambiente interno/no-producción referenciadas desde datos.gov.co | URLs de ambiente interno/no-producción referenciadas desde sgc.gov.co | URLs de ambiente interno/no-producción referenciadas desde defensacivil.gov.co.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

NS records: ns-61.awsdns-07.com, ns-1489.awsdns-58.org, ns-1705.awsdns-21.co.uk, ns-772.awsdns-32.net

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Server: AmazonS3

Observado: 2026-04-03