Postura crítica

Superintendencia Nacional de Salud

Rama Ejecutiva · Sector salud · Superintendencia

ResumenRiesgo ALTO

SuperSalud presenta riesgo alto: tiene 18 hallazgos activos publicados, de los cuales 8 requieren atención prioritaria (3 críticos y 5 altos). La prioridad es restringir accesos o configuraciones visibles públicamente y validar que no queden servicios sensibles abiertos sin control. Los temas que más inciden son exposición pública de servicios, tecnología vulnerable o fuera de soporte y controles básicos del portal.

Siguiente paso: asignar responsable, fecha de corrección y evidencia de cierre; si un riesgo no se corrige, aceptarlo formalmente con dueño y fecha de revisión.

Descripción técnica

Se registran 18 hallazgos activos publicados: 3 críticos, 5 altos, 7 medios, 2 bajos y 1 informativo.

Señales técnicas principales: Portal SSL-VPN público con firma canonica FortiGate: vpn.supersalud.gov.co (190.71.149.50) redirige a /remote/login, ruta canonica de FortiGate SSL-VPN. Sin autenticar no se determina versión de firmware. Sistema NRVCC opera sobre Windows Server 2012 R2 fuera de soporte: nrvcc.supersalud.gov.co reporta Microsoft-IIS/8.5, banner que corresponde univocamente a Windows Server 2012/2012 R2. Soporte extendido finalizado el 10 de octubre de 2023. autenticación NTLM expuesta a internet en portal SharePoint: GET /_layouts/15/AccessDenied.aspx en www.supersalud.gov.co retorna 401 con WWW-Authenticate: NTLM y MicrosoftSharePointTeamServices: 16.0.0.10417.

Focos técnicos dominantes: subdominios, APIs o paneles expuestos; software fuera de soporte; y headers, cookies y endurecimiento web.

Publicados: 18Críticos: 3Altos: 5Medios: 7
Cobertura70
Postura de seguridad5
Divulgación responsable0
Consistencia operativa60

Hallazgos (18)

Autenticacion NTLM expuesta a internet en portal SharePoint

Critica

GET /_layouts/15/AccessDenied.aspx en www.supersalud.gov.co retorna 401 con WWW-Authenticate: NTLM y MicrosoftSharePointTeamServices: 16.0.0.10417.

Cualquier cliente en internet puede iniciar handshake NTLM, habilitando relay attacks contra Active Directory interno y cracking offline de hashes.

Portal SSL-VPN publico con firma canonica FortiGate

Critica

vpn.supersalud.gov.co (190.71.149.50) redirige a /remote/login, ruta canonica de FortiGate SSL-VPN. Sin autenticar no se determina version de firmware.

La familia FortiGate ha tenido 5+ CVEs criticas explotadas en produccion (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762, CVE-2024-23113, CVE-2024-47575). Si firmware < 7.4.5 / 7.2.10 / 7.0.16, hay riesgo activo.

Sistema NRVCC opera sobre Windows Server 2012 R2 fuera de soporte

Critica

nrvcc.supersalud.gov.co reporta Microsoft-IIS/8.5, banner que corresponde univocamente a Windows Server 2012/2012 R2. Soporte extendido finalizado el 10 de octubre de 2023.

El registro de novedades de vigilancia de IPS/EPS lleva al menos 18 meses sin parches oficiales del sistema operativo. Cualquier CVE de Windows post-EOL queda sin remediar.

DMARC en modo permisivo (quarantine) sin reportes

Alta

_dmarc.supersalud.gov.co publica v=DMARC1; p=quarantine sin campos rua/ruf. No hay rechazo activo de correos no autenticados.

Un atacante puede enviar correos suplantando @supersalud.gov.co a IPS/EPS vigiladas, vector ya explotado en sector salud LATAM 2024-2025. Sin rua/ruf, ceguera total ante intentos de spoofing.

Dominio apex retorna 404 sin redirigir al sitio

Alta

https://supersalud.gov.co/ responde 404 desde Microsoft-HTTPAPI/2.0 (kernel HTTP de Windows sin aplicacion detras), sin redirect al www.

Cualquier usuario que escriba el dominio sin www recibe error generico. Indica configuracion Azure deficiente y abre superficie a typosquatting + dominio-en-transito.

intranet.* y www2.* publicos con visibilidad operativa pobre

Alta

intranet.supersalud.gov.co (Azure 20.253.6.223) y www2.supersalud.gov.co (201.217.202.3 Colombia) son alcanzables via DNS publico. Bruteforce trivial los descubre. HTTPS hace timeout.

Activos huerfanos son vector primario para acceso inicial: tipicamente corren versiones antiguas, sin monitoreo ni parches. www2 ademas vive en infraestructura nacional paralela a la migracion Azure.

Datos de portales publicos hospedados fuera de Colombia

Alta

Apex y mayoria de subdominios resuelven a 4.157.104.230 (Microsoft Azure AS8075, Washington/Virginia, EE.UU.).

Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC. Para una Superintendencia que sanciona este tipo de incumplimientos, el alojamiento extraterritorial es riesgo reputacional y disciplinario.

SharePoint Server 2016 con fin de soporte extendido en 90 dias

Alta

Header MicrosoftSharePointTeamServices: 16.0.0.10417 (build de abril 2021). SharePoint 2016 fin de soporte extendido el 14 de julio de 2026. Sitemap fechado 2015-10-23 confirma mantenimiento detenido.

En 90 dias el portal principal queda sin parches oficiales. La migracion a SharePoint Subscription Edition o SharePoint Online toma meses; el reloj corre.

Ausencia de registros CAA — cualquier CA puede emitir certificados

Media

dig CAA supersalud.gov.co retorna vacio. Combinado con CT logs publicos que solo muestran el apex (sub-reporte), la entidad pierde monitoreo de emisiones no autorizadas.

Un atacante con acceso a cualquier CA publica puede emitir certificados validos a nombre del dominio sin que la entidad lo detecte automaticamente.

Certificado wildcard cubre 1 dominios en supersalud.gov.co

Media

Wildcards en SAN: *.SUPERSALUD.GOV.CO. Total SAN: 2.

Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

DNSSEC ausente en supersalud.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

DNS de supersalud.gov.co totalmente fuera de Colombia

Media

NS records: ns2-37.azure-dns.net, ns3-37.azure-dns.org, ns4-37.azure-dns.info, ns1-37.azure-dns.com

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

robots.txt revela path /Lists/HV/ (probable Hojas de Vida)

Media

www.supersalud.gov.co/robots.txt tiene Disallow: /Lists/HV/ y /es-co/Lists/HV/. En SharePoint, HV tipicamente es Hojas de Vida. El path existe; robots.txt no es control de acceso.

Si la lista no tiene permisos restrictivos, hay PII de funcionarios accesible directamente por URL. Senalizacion en robots.txt es indicador clasico Streisand: "no me indexen, pero existe".

Ausencia total de canal de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar. Aumenta probabilidad de divulgacion publica antes de remediacion. Costo de implementacion: una tarde.

Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios

Media

Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.

Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.

cdn.supersalud.gov.co muestra pagina default de IIS

Baja

Subdominio activo, certificado emitido, pero responde con la pagina IIS Windows Server default (no contenido real).

Subdominio sin proposito = superficie expuesta innecesaria + certificado emitido sin funcion. Candidato a decomisionamiento.

mesa.supersalud.gov.co retorna HTTPS 500

Baja

Redirect 301 desde HTTP a HTTPS, pero HTTPS responde 500 Internal Server Error. Aplicacion caida o mal configurada.

La mesa de servicio de la entidad regulada no esta operativa via web. Indica falta de monitoreo de salud de servicios criticos.

Headers SharePoint filtran version exacta y telemetria interna

Info

www, docs, assets responden con MicrosoftSharePointTeamServices: 16.0.0.10417, X-AspNet-Version: 4.0.30319, SPRequestDuration, SPIisLatency, X-MS-InvokeApp.

Cada header acelera la explotacion de vulnerabilidades de version especifica. Buena practica: ocultar Server, X-Powered-By y headers de telemetria en respuestas externas.

Soluciones recomendadas

Qué necesita SuperSalud

Acciones derivadas directamente de los hallazgos observados en esta entidad.

Inmediatas

Cifrado obligatorio en todos los portales

  • Activar HTTPS correctamente en todos los portales y subdominios.
  • Corregir certificados vencidos o mal configurados.
  • Habilitar HSTS para obligar conexiones seguras.
  • Revisar que no haya contenido mixto cargando por HTTP.

Cierre de subdominios expuestos

  • Retirar de DNS público ambientes como dev, intranet, apps, digiturno o pqrs si no deben ser públicos.
  • Mover intranets y ambientes internos detrás de VPN.
  • Exigir autenticación fuerte para cualquier sistema administrativo.

Protección contra suplantación de correo

  • Configurar SPF, DKIM y DMARC.
  • Llevar DMARC progresivamente a política estricta: reject.
  • Monitorear reportes de suplantación.
  • Bloquear dominios similares usados para phishing.

Headers de seguridad

  • Activar Content-Security-Policy.
  • Activar X-Frame-Options o frame-ancestors.
  • Activar X-Content-Type-Options, Referrer-Policy y Permissions-Policy.
  • Eliminar headers que revelan tecnología, como X-Powered-By.

Mantenimiento técnico

Actualizar software obsoleto

  • Migrar PHP 5 y PHP 7.4 a versiones soportadas.
  • Actualizar Joomla, plugins, plantillas y extensiones.
  • Retirar librerías JavaScript vulnerables.
  • Establecer ventanas mensuales de parcheo.

Gestión de vulnerabilidades

  • Escanear periódicamente dominios y subdominios.
  • Clasificar hallazgos por severidad.
  • Asignar responsables y fechas de cierre.
  • Verificar que cada corrección haya sido aplicada.

Inventario de activos digitales

  • Mantener un mapa actualizado de dominios, subdominios, servidores, APIs y proveedores.
  • Identificar qué es público, interno, tercerizado o abandonado.
  • Dar de baja activos huérfanos o sin dueño claro.

Protección de APIs

  • Exigir autenticación.
  • Implementar rate limiting.
  • Validar permisos por usuario y rol.
  • Evitar que las APIs revelen datos personales, errores internos o estructuras del sistema.

Control de certificados

  • Publicar registros CAA para definir qué autoridades pueden emitir certificados del dominio.
  • Monitorear Certificate Transparency.
  • Renovar certificados automáticamente.
  • Detectar certificados sospechosos o no autorizados.

Canal de divulgación responsable

  • Publicar security.txt (RFC 9116).
  • Definir un correo oficial para reportes de seguridad.
  • Crear un procedimiento interno para recibir, validar y corregir vulnerabilidades.

Gestión de datos personales

  • Revisar formularios, PQRS, trámites y APIs que procesan datos ciudadanos.
  • Minimizar los datos expuestos.
  • Cifrar datos sensibles en tránsito y en reposo.
  • Aplicar controles de acceso y trazabilidad.

Hardening institucional

  • Configuraciones seguras por defecto y plantillas web endurecidas.
  • Revisión de seguridad antes de publicar nuevos portales.
  • Separación clara entre producción, pruebas, desarrollo e intranet.

Cómo sostenerlo

  • Política de mínimos de seguridad web. Estándar obligatorio para todos los portales (HTTPS, HSTS, DMARC, headers, backups, logs, actualizaciones, monitoreo), exigible a proveedores.
  • Cláusulas de ciberseguridad en contratos. Obligar mínimos técnicos, SLA de corrección por severidad, evidencias de parcheo y derecho de auditoría.
  • Monitoreo continuo. No una revisión anual: alertar ante cada nuevo subdominio, certificado, API o tecnología vulnerable, y medir la postura por entidad y proveedor.
  • Modelo de remediación coordinada. Cuando un hallazgo se repite en muchas entidades, corregir la causa raíz (proveedor, plantilla o configuración común) para cerrar el riesgo en bloque.
  • Indicadores para la alta dirección. Tiempo promedio de corrección, hallazgos críticos abiertos, % de entidades con DMARC y HSTS, activos expuestos sin responsable, riesgo por proveedor.
  • EstadoSeguro no solo detecta vulnerabilidades; permite priorizar soluciones.
  • No reemplaza a su equipo de TI: le da visibilidad, evidencia y orden.
  • No es una auditoría anual: es monitoreo continuo de la superficie pública.
  • No busca señalar culpables: busca cerrar brechas antes de que se conviertan en incidentes.
  • Convierte el riesgo técnico en decisiones ejecutivas: qué corregir, quién responde y qué hacer primero.
Solicitar diagnóstico

Cronología de hallazgos

2026-04-282026-04-30

Nuevos

19

Activos

18

Pendientes

0

Solucionados

1

+ 7 eventos adicionales en el API de cronología.

Activos públicos (11)

www2.supersalud.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 201.217.202.3).

Observado: 2026-04-28

nrvcc.supersalud.gov.co

aplicacion misional

1/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-IIS/8.5

Tech: ASP.NET, Microsoft IIS. Title: NRVCC

Observado: 2026-04-28

www.supersalud.gov.co

portal principal

7/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Supersalud | Superintendencia Nacional de Salud

Observado: 2026-04-28

vpn.supersalud.gov.co

vpn

5/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Tech: no fingerprint. Title: -

Observado: 2026-04-28

autodiscover.supersalud.gov.co

email autodiscover

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico, host alive (IP 52.96.222.168).

Observado: 2026-04-28

assets.supersalud.gov.co

cdn recursos

5/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Centro de Recursos Multimedia - Inicio

Observado: 2026-04-28

supersalud.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-HTTPAPI/2.0

Targeted passive refresh for supersalud. Server: Microsoft-HTTPAPI/2.0.

Observado: 2026-06-27

docs.supersalud.gov.co

repositorio documental

5/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Inicio - Documentos

Observado: 2026-04-28

cdn.supersalud.gov.co

cdn recursos

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS. Title: IIS Windows Server

Observado: 2026-04-28

intranet.supersalud.gov.co

intranet

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 20.253.6.223).

Observado: 2026-04-28

mesa.supersalud.gov.co

mesa servicio

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: Remote end closed connection without response. FQDN publicado en DNS publico, host alive (IP 20.85.190.4).

Observado: 2026-04-28