Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Crítico

Superintendencia de Servicios Publicos Domiciliarios

Rama Ejecutiva · Sector vivienda · Superintendencia

Resumen ejecutivoRiesgo CRÍTICO

Riesgo crítico. Se detectaron 1 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2021-22175). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 2 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: actualizar el stack tecnológico al menos a las versiones que parchean las CVE listadas en CISA KEV.

Total: 14Críticas: 1Altas: 3Medias: 2Sistémicas: 2CISA KEV: 1
Cobertura90
Postura de seguridad30
Divulgación responsable0
Consistencia operativa50

Hallazgos (4)

CISA KEV CVE-2021-22175: gitlab . en superservicios (explotación activa documentada)

Critica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: intranet.superservicios.gov.co, gitlab.superservicios.gov.co

Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

DNSSEC ausente en superservicios.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

33 portales no funcionan en su dominio raiz

Media

El 30% de los portales no responde sin www. Los ciudadanos que escriben dian.gov.co o fiscalia.gov.co obtienen errores.

Problema basico de configuracion DNS solucionable en minutos que afecta la accesibilidad de los servicios del Estado.

Activos públicos (1)

superservicios.gov.co

portal principal

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Dominio raiz SSL falla. Solo pagina de reto WAF Imperva.

Observado: 2026-04-03