Superintendencia Nacional de Salud

_dmarc.supersalud.gov.co publica v=DMARC1; p=quarantine sin campos rua/ruf. No hay rechazo activo de correos no autenticados.

Un atacante puede enviar correos suplantando @supersalud.gov.co a IPS/EPS vigiladas, vector ya explotado en sector salud LATAM 2024-2025. Sin rua/ruf, ceguera total ante intentos de spoofing.

Hosts: fenix.supersalud.gov.co

Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

https://supersalud.gov.co/ responde 404 desde Microsoft-HTTPAPI/2.0 (kernel HTTP de Windows sin aplicacion detras), sin redirect al www.

Cualquier usuario que escriba el dominio sin www recibe error generico. Indica configuracion Azure deficiente y abre superficie a typosquatting + dominio-en-transito.

intranet.supersalud.gov.co (Azure 20.253.6.223) y www2.supersalud.gov.co (201.217.202.3 Colombia) son alcanzables via DNS publico. Bruteforce trivial los descubre. HTTPS hace timeout.

Activos huerfanos son vector primario para acceso inicial: tipicamente corren versiones antiguas, sin monitoreo ni parches. www2 ademas vive en infraestructura nacional paralela a la migracion Azure.

Apex y mayoria de subdominios resuelven a 4.157.104.230 (Microsoft Azure AS8075, Washington/Virginia, EE.UU.).

Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC. Para una Superintendencia que sanciona este tipo de incumplimientos, el alojamiento extraterritorial es riesgo reputacional y disciplinario.

Header MicrosoftSharePointTeamServices: 16.0.0.10417 (build de abril 2021). SharePoint 2016 fin de soporte extendido el 14 de julio de 2026. Sitemap fechado 2015-10-23 confirma mantenimiento detenido.

En 90 dias el portal principal queda sin parches oficiales. La migracion a SharePoint Subscription Edition o SharePoint Online toma meses; el reloj corre.

dig CAA supersalud.gov.co retorna vacio. Combinado con CT logs publicos que solo muestran el apex (sub-reporte), la entidad pierde monitoreo de emisiones no autorizadas.

Un atacante con acceso a cualquier CA publica puede emitir certificados validos a nombre del dominio sin que la entidad lo detecte automaticamente.

Wildcards en SAN: *.SUPERSALUD.GOV.CO. Total SAN: 2.

Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

NS records: ns2-37.azure-dns.net, ns3-37.azure-dns.org, ns4-37.azure-dns.info, ns1-37.azure-dns.com

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

www.supersalud.gov.co/robots.txt tiene Disallow: /Lists/HV/ y /es-co/Lists/HV/. En SharePoint, HV tipicamente es Hojas de Vida. El path existe; robots.txt no es control de acceso.

Si la lista no tiene permisos restrictivos, hay PII de funcionarios accesible directamente por URL. Senalizacion en robots.txt es indicador clasico Streisand: "no me indexen, pero existe".

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar. Aumenta probabilidad de divulgacion publica antes de remediacion. Costo de implementacion: una tarde.

Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.

Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.

Subdominio activo, certificado emitido, pero responde con la pagina IIS Windows Server default (no contenido real).

Subdominio sin proposito = superficie expuesta innecesaria + certificado emitido sin funcion. Candidato a decomisionamiento.

Redirect 301 desde HTTP a HTTPS, pero HTTPS responde 500 Internal Server Error. Aplicacion caida o mal configurada.

La mesa de servicio de la entidad regulada no esta operativa via web. Indica falta de monitoreo de salud de servicios criticos.

www, docs, assets responden con MicrosoftSharePointTeamServices: 16.0.0.10417, X-AspNet-Version: 4.0.30319, SPRequestDuration, SPIisLatency, X-MS-InvokeApp.

Cada header acelera la explotacion de vulnerabilidades de version especifica. Buena practica: ocultar Server, X-Powered-By y headers de telemetria en respuestas externas.

HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 201.217.202.3).

Observado: 2026-04-28

Server: Microsoft-IIS/8.5

Tech: ASP.NET, Microsoft IIS. Title: NRVCC

Observado: 2026-04-28

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Supersalud | Superintendencia Nacional de Salud

Observado: 2026-04-28

Tech: no fingerprint. Title: -

Observado: 2026-04-28

HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico, host alive (IP 52.96.222.168).

Observado: 2026-04-28

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Centro de Recursos Multimedia - Inicio

Observado: 2026-04-28

Server: Microsoft-HTTPAPI/2.0

Tech: no fingerprint. Title: Not Found

Observado: 2026-04-28

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Inicio - Documentos

Observado: 2026-04-28

Server: Microsoft-IIS/10.0

Tech: ASP.NET, Microsoft IIS. Title: IIS Windows Server

Observado: 2026-04-28

HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 20.253.6.223).

Observado: 2026-04-28

HTTPS error: Remote end closed connection without response. FQDN publicado en DNS publico, host alive (IP 20.85.190.4).

Observado: 2026-04-28