Superintendencia Nacional de Salud
Rama Ejecutiva · Sector salud · Superintendencia
SuperSalud presenta riesgo alto: tiene 18 hallazgos activos publicados, de los cuales 8 requieren atención prioritaria (3 críticos y 5 altos). La prioridad es restringir accesos o configuraciones visibles públicamente y validar que no queden servicios sensibles abiertos sin control. Los temas que más inciden son exposición pública de servicios, tecnología vulnerable o fuera de soporte y controles básicos del portal.
Siguiente paso: asignar responsable, fecha de corrección y evidencia de cierre; si un riesgo no se corrige, aceptarlo formalmente con dueño y fecha de revisión.
Descripción técnica
Se registran 18 hallazgos activos publicados: 3 críticos, 5 altos, 7 medios, 2 bajos y 1 informativo.
Señales técnicas principales: Portal SSL-VPN público con firma canonica FortiGate: vpn.supersalud.gov.co (190.71.149.50) redirige a /remote/login, ruta canonica de FortiGate SSL-VPN. Sin autenticar no se determina versión de firmware. Sistema NRVCC opera sobre Windows Server 2012 R2 fuera de soporte: nrvcc.supersalud.gov.co reporta Microsoft-IIS/8.5, banner que corresponde univocamente a Windows Server 2012/2012 R2. Soporte extendido finalizado el 10 de octubre de 2023. autenticación NTLM expuesta a internet en portal SharePoint: GET /_layouts/15/AccessDenied.aspx en www.supersalud.gov.co retorna 401 con WWW-Authenticate: NTLM y MicrosoftSharePointTeamServices: 16.0.0.10417.
Focos técnicos dominantes: subdominios, APIs o paneles expuestos; software fuera de soporte; y headers, cookies y endurecimiento web.
Hallazgos (18)
Autenticacion NTLM expuesta a internet en portal SharePoint
CriticaGET /_layouts/15/AccessDenied.aspx en www.supersalud.gov.co retorna 401 con WWW-Authenticate: NTLM y MicrosoftSharePointTeamServices: 16.0.0.10417.
Cualquier cliente en internet puede iniciar handshake NTLM, habilitando relay attacks contra Active Directory interno y cracking offline de hashes.
Portal SSL-VPN publico con firma canonica FortiGate
Criticavpn.supersalud.gov.co (190.71.149.50) redirige a /remote/login, ruta canonica de FortiGate SSL-VPN. Sin autenticar no se determina version de firmware.
La familia FortiGate ha tenido 5+ CVEs criticas explotadas en produccion (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762, CVE-2024-23113, CVE-2024-47575). Si firmware < 7.4.5 / 7.2.10 / 7.0.16, hay riesgo activo.
Sistema NRVCC opera sobre Windows Server 2012 R2 fuera de soporte
Criticanrvcc.supersalud.gov.co reporta Microsoft-IIS/8.5, banner que corresponde univocamente a Windows Server 2012/2012 R2. Soporte extendido finalizado el 10 de octubre de 2023.
El registro de novedades de vigilancia de IPS/EPS lleva al menos 18 meses sin parches oficiales del sistema operativo. Cualquier CVE de Windows post-EOL queda sin remediar.
DMARC en modo permisivo (quarantine) sin reportes
Alta_dmarc.supersalud.gov.co publica v=DMARC1; p=quarantine sin campos rua/ruf. No hay rechazo activo de correos no autenticados.
Un atacante puede enviar correos suplantando @supersalud.gov.co a IPS/EPS vigiladas, vector ya explotado en sector salud LATAM 2024-2025. Sin rua/ruf, ceguera total ante intentos de spoofing.
Dominio apex retorna 404 sin redirigir al sitio
Altahttps://supersalud.gov.co/ responde 404 desde Microsoft-HTTPAPI/2.0 (kernel HTTP de Windows sin aplicacion detras), sin redirect al www.
Cualquier usuario que escriba el dominio sin www recibe error generico. Indica configuracion Azure deficiente y abre superficie a typosquatting + dominio-en-transito.
intranet.* y www2.* publicos con visibilidad operativa pobre
Altaintranet.supersalud.gov.co (Azure 20.253.6.223) y www2.supersalud.gov.co (201.217.202.3 Colombia) son alcanzables via DNS publico. Bruteforce trivial los descubre. HTTPS hace timeout.
Activos huerfanos son vector primario para acceso inicial: tipicamente corren versiones antiguas, sin monitoreo ni parches. www2 ademas vive en infraestructura nacional paralela a la migracion Azure.
Datos de portales publicos hospedados fuera de Colombia
AltaApex y mayoria de subdominios resuelven a 4.157.104.230 (Microsoft Azure AS8075, Washington/Virginia, EE.UU.).
Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC. Para una Superintendencia que sanciona este tipo de incumplimientos, el alojamiento extraterritorial es riesgo reputacional y disciplinario.
SharePoint Server 2016 con fin de soporte extendido en 90 dias
AltaHeader MicrosoftSharePointTeamServices: 16.0.0.10417 (build de abril 2021). SharePoint 2016 fin de soporte extendido el 14 de julio de 2026. Sitemap fechado 2015-10-23 confirma mantenimiento detenido.
En 90 dias el portal principal queda sin parches oficiales. La migracion a SharePoint Subscription Edition o SharePoint Online toma meses; el reloj corre.
Ausencia de registros CAA — cualquier CA puede emitir certificados
Mediadig CAA supersalud.gov.co retorna vacio. Combinado con CT logs publicos que solo muestran el apex (sub-reporte), la entidad pierde monitoreo de emisiones no autorizadas.
Un atacante con acceso a cualquier CA publica puede emitir certificados validos a nombre del dominio sin que la entidad lo detecte automaticamente.
Certificado wildcard cubre 1 dominios en supersalud.gov.co
MediaWildcards en SAN: *.SUPERSALUD.GOV.CO. Total SAN: 2.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en supersalud.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
DNS de supersalud.gov.co totalmente fuera de Colombia
MediaNS records: ns2-37.azure-dns.net, ns3-37.azure-dns.org, ns4-37.azure-dns.info, ns1-37.azure-dns.com
Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.
robots.txt revela path /Lists/HV/ (probable Hojas de Vida)
Mediawww.supersalud.gov.co/robots.txt tiene Disallow: /Lists/HV/ y /es-co/Lists/HV/. En SharePoint, HV tipicamente es Hojas de Vida. El path existe; robots.txt no es control de acceso.
Si la lista no tiene permisos restrictivos, hay PII de funcionarios accesible directamente por URL. Senalizacion en robots.txt es indicador clasico Streisand: "no me indexen, pero existe".
Ausencia total de canal de divulgacion responsable
MediaNinguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar. Aumenta probabilidad de divulgacion publica antes de remediacion. Costo de implementacion: una tarde.
Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios
MediaApex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.
Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.
cdn.supersalud.gov.co muestra pagina default de IIS
BajaSubdominio activo, certificado emitido, pero responde con la pagina IIS Windows Server default (no contenido real).
Subdominio sin proposito = superficie expuesta innecesaria + certificado emitido sin funcion. Candidato a decomisionamiento.
mesa.supersalud.gov.co retorna HTTPS 500
BajaRedirect 301 desde HTTP a HTTPS, pero HTTPS responde 500 Internal Server Error. Aplicacion caida o mal configurada.
La mesa de servicio de la entidad regulada no esta operativa via web. Indica falta de monitoreo de salud de servicios criticos.
Headers SharePoint filtran version exacta y telemetria interna
Infowww, docs, assets responden con MicrosoftSharePointTeamServices: 16.0.0.10417, X-AspNet-Version: 4.0.30319, SPRequestDuration, SPIisLatency, X-MS-InvokeApp.
Cada header acelera la explotacion de vulnerabilidades de version especifica. Buena practica: ocultar Server, X-Powered-By y headers de telemetria en respuestas externas.
Soluciones recomendadas
Qué necesita SuperSalud
Acciones derivadas directamente de los hallazgos observados en esta entidad.
Inmediatas
Cifrado obligatorio en todos los portales
- Activar HTTPS correctamente en todos los portales y subdominios.
- Corregir certificados vencidos o mal configurados.
- Habilitar HSTS para obligar conexiones seguras.
- Revisar que no haya contenido mixto cargando por HTTP.
Cierre de subdominios expuestos
- Retirar de DNS público ambientes como dev, intranet, apps, digiturno o pqrs si no deben ser públicos.
- Mover intranets y ambientes internos detrás de VPN.
- Exigir autenticación fuerte para cualquier sistema administrativo.
Protección contra suplantación de correo
- Configurar SPF, DKIM y DMARC.
- Llevar DMARC progresivamente a política estricta: reject.
- Monitorear reportes de suplantación.
- Bloquear dominios similares usados para phishing.
Headers de seguridad
- Activar Content-Security-Policy.
- Activar X-Frame-Options o frame-ancestors.
- Activar X-Content-Type-Options, Referrer-Policy y Permissions-Policy.
- Eliminar headers que revelan tecnología, como X-Powered-By.
Mantenimiento técnico
Actualizar software obsoleto
- Migrar PHP 5 y PHP 7.4 a versiones soportadas.
- Actualizar Joomla, plugins, plantillas y extensiones.
- Retirar librerías JavaScript vulnerables.
- Establecer ventanas mensuales de parcheo.
Gestión de vulnerabilidades
- Escanear periódicamente dominios y subdominios.
- Clasificar hallazgos por severidad.
- Asignar responsables y fechas de cierre.
- Verificar que cada corrección haya sido aplicada.
Inventario de activos digitales
- Mantener un mapa actualizado de dominios, subdominios, servidores, APIs y proveedores.
- Identificar qué es público, interno, tercerizado o abandonado.
- Dar de baja activos huérfanos o sin dueño claro.
Protección de APIs
- Exigir autenticación.
- Implementar rate limiting.
- Validar permisos por usuario y rol.
- Evitar que las APIs revelen datos personales, errores internos o estructuras del sistema.
Control de certificados
- Publicar registros CAA para definir qué autoridades pueden emitir certificados del dominio.
- Monitorear Certificate Transparency.
- Renovar certificados automáticamente.
- Detectar certificados sospechosos o no autorizados.
Canal de divulgación responsable
- Publicar security.txt (RFC 9116).
- Definir un correo oficial para reportes de seguridad.
- Crear un procedimiento interno para recibir, validar y corregir vulnerabilidades.
Gestión de datos personales
- Revisar formularios, PQRS, trámites y APIs que procesan datos ciudadanos.
- Minimizar los datos expuestos.
- Cifrar datos sensibles en tránsito y en reposo.
- Aplicar controles de acceso y trazabilidad.
Hardening institucional
- Configuraciones seguras por defecto y plantillas web endurecidas.
- Revisión de seguridad antes de publicar nuevos portales.
- Separación clara entre producción, pruebas, desarrollo e intranet.
Cómo sostenerlo
- Política de mínimos de seguridad web. Estándar obligatorio para todos los portales (HTTPS, HSTS, DMARC, headers, backups, logs, actualizaciones, monitoreo), exigible a proveedores.
- Cláusulas de ciberseguridad en contratos. Obligar mínimos técnicos, SLA de corrección por severidad, evidencias de parcheo y derecho de auditoría.
- Monitoreo continuo. No una revisión anual: alertar ante cada nuevo subdominio, certificado, API o tecnología vulnerable, y medir la postura por entidad y proveedor.
- Modelo de remediación coordinada. Cuando un hallazgo se repite en muchas entidades, corregir la causa raíz (proveedor, plantilla o configuración común) para cerrar el riesgo en bloque.
- Indicadores para la alta dirección. Tiempo promedio de corrección, hallazgos críticos abiertos, % de entidades con DMARC y HSTS, activos expuestos sin responsable, riesgo por proveedor.
- EstadoSeguro no solo detecta vulnerabilidades; permite priorizar soluciones.
- No reemplaza a su equipo de TI: le da visibilidad, evidencia y orden.
- No es una auditoría anual: es monitoreo continuo de la superficie pública.
- No busca señalar culpables: busca cerrar brechas antes de que se conviertan en incidentes.
- Convierte el riesgo técnico en decisiones ejecutivas: qué corregir, quién responde y qué hacer primero.
Cronología de hallazgos
2026-04-28 → 2026-04-30Nuevos
19
Activos
18
Pendientes
0
Solucionados
1
Certificado wildcard cubre 1 dominios en supersalud.gov.co
Apareció: 2026-04-30 · Revisado: 2026-06-27
DNSSEC ausente en supersalud.gov.co
Apareció: 2026-04-30 · Revisado: 2026-06-27
DNS de supersalud.gov.co totalmente fuera de Colombia
Apareció: 2026-04-30 · Revisado: 2026-06-27
Dominio apex retorna 404 sin redirigir al sitio
Apareció: 2026-04-28 · Revisado: 2026-05-17
cdn.supersalud.gov.co muestra pagina default de IIS
Apareció: 2026-04-28 · Revisado: 2026-05-17
Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios
Apareció: 2026-04-28 · Revisado: 2026-05-17
DMARC en modo permisivo (quarantine) sin reportes
Apareció: 2026-04-28 · Revisado: 2026-06-27
Headers SharePoint filtran version exacta y telemetria interna
Apareció: 2026-04-28 · Revisado: 2026-05-17
robots.txt revela path /Lists/HV/ (probable Hojas de Vida)
Apareció: 2026-04-28 · Revisado: 2026-05-17
Datos de portales publicos hospedados fuera de Colombia
Apareció: 2026-04-28 · Revisado: 2026-05-17
mesa.supersalud.gov.co retorna HTTPS 500
Apareció: 2026-04-28 · Revisado: 2026-05-17
Ausencia de registros CAA — cualquier CA puede emitir certificados
Apareció: 2026-04-28 · Revisado: 2026-06-27
+ 7 eventos adicionales en el API de cronología.
Activos públicos (11)
www2.supersalud.gov.co
portal principal
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 201.217.202.3).
Observado: 2026-04-28
nrvcc.supersalud.gov.co
aplicacion misional
Server: Microsoft-IIS/8.5
Tech: ASP.NET, Microsoft IIS. Title: NRVCC
Observado: 2026-04-28
www.supersalud.gov.co
portal principal
Server: Microsoft-IIS/10.0
Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Supersalud | Superintendencia Nacional de Salud
Observado: 2026-04-28
vpn.supersalud.gov.co
vpn
Tech: no fingerprint. Title: -
Observado: 2026-04-28
autodiscover.supersalud.gov.co
email autodiscover
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico, host alive (IP 52.96.222.168).
Observado: 2026-04-28
assets.supersalud.gov.co
cdn recursos
Server: Microsoft-IIS/10.0
Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Centro de Recursos Multimedia - Inicio
Observado: 2026-04-28
supersalud.gov.co
portal principal
Server: Microsoft-HTTPAPI/2.0
Targeted passive refresh for supersalud. Server: Microsoft-HTTPAPI/2.0.
Observado: 2026-06-27
docs.supersalud.gov.co
repositorio documental
Server: Microsoft-IIS/10.0
Tech: ASP.NET, Microsoft IIS, SharePoint. Title: Inicio - Documentos
Observado: 2026-04-28
cdn.supersalud.gov.co
cdn recursos
Server: Microsoft-IIS/10.0
Tech: ASP.NET, Microsoft IIS. Title: IIS Windows Server
Observado: 2026-04-28
intranet.supersalud.gov.co
intranet
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico, host alive (IP 20.253.6.223).
Observado: 2026-04-28
mesa.supersalud.gov.co
mesa servicio
HTTPS error: Remote end closed connection without response. FQDN publicado en DNS publico, host alive (IP 20.85.190.4).
Observado: 2026-04-28