Hallazgos

3605 hallazgos documentados. Basados exclusivamente en señales públicas observables.

150 Críticos1208 Altos2225 Medios
3605 resultados

CISA KEV CVE-2024-38475: apache_http 2.2.22 en senado (explotación activa documentada)

Crítica

La versión detectada apache_http 2.2.22 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-38475: Apache HTTP Server Improper Escaping of Output Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2025-05-01, dueDate gov US=2025-05-22).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-42013: apache_http 2.2.22 en senado (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada apache_http 2.2.22 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-42013: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-41773: apache_http 2.2.22 en senado (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada apache_http 2.2.22 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-41773: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2019-0211: apache_http 2.2.22 en senado (explotación activa documentada)

Crítica

La versión detectada apache_http 2.2.22 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2019-0211: Apache HTTP Server Privilege Escalation Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2022-05-03).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2014-0160: openssl 1.0.1 en senado (explotación activa documentada)

Crítica

La versión detectada openssl 1.0.1 corresponde a vendor='openssl' product='openssl' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2014-0160: OpenSSL Information Disclosure Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2022-05-04, dueDate gov US=2022-05-25).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en univ-univalle (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en car-corpoamazonia (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.3 en alc-cucuta (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.3 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en corte-suprema (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en alc-itagui (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en univ-uis (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en univ-unal (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en cc-comfenalco-valle (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-38475: apache_http 2.2.15 en emp-mio (explotación activa documentada)

Crítica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-38475: Apache HTTP Server Improper Escaping of Output Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2025-05-01, dueDate gov US=2025-05-22).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-42013: apache_http 2.2.15 en emp-mio (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-42013: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-41773: apache_http 2.2.15 en emp-mio (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-41773: Apache HTTP Server Path Traversal Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2021-11-17; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2019-0211: apache_http 2.2.15 en emp-mio (explotación activa documentada)

Crítica

La versión detectada apache_http 2.2.15 corresponde a vendor='apache' product='http server' con 4 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2019-0211: Apache HTTP Server Privilege Escalation Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2021-11-03, dueDate gov US=2022-05-03).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 5 en ese-metrosalud (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 5 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.2 en ese-hd-villavicencio (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.2 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en ese-pasto-salud (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.3 en eps-nuevaeps (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.3 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en eps-capital-salud (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en per-cali (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 5 en per-cartagena (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 5 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.2 en ctr-casanare (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.2 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 5 en univ-unillanos (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 5 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en univ-unicolmayor (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 5 en univ-ufps (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 5 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.1 en univ-ut (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.1 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en univ-itm (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en car-sda-bogota (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php . en univ-utp (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php . corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2021-22175: gitlab . en univ-utp (explotación activa documentada)

Crítica

La versión detectada gitlab . corresponde a vendor='gitlab' product='gitlab' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2026-02-18, dueDate gov US=2026-03-11).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CISA KEV CVE-2024-4577: php 7.4 en alc-arauca (explotación activa documentada; en uso por ransomware activo)

Crítica

La versión detectada php 7.4 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).

Por qué importa: El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.

Vulnerabilidad con explotación activaA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en www.personeriabucaramanga.gov.co

Crítica

GET https://www.personeriabucaramanga.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex sahagun-cordoba.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex crc.gov.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.4.16).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Autenticacion NTLM expuesta a internet en portal SharePoint

Crítica

GET /_layouts/15/AccessDenied.aspx en www.supersalud.gov.co retorna 401 con WWW-Authenticate: NTLM y MicrosoftSharePointTeamServices: 16.0.0.10417.

Por qué importa: Cualquier cliente en internet puede iniciar handshake NTLM, habilitando relay attacks contra Active Directory interno y cracking offline de hashes.

Headers de seguridadConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

phpMyAdmin unknown expuesto en per-bucaramanga (control DB potencial)

Crítica

phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.

Por qué importa: phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Portal legislativo opera sin HTTPS sobre software sin soporte

Crítica

El portal de la Secretaria del Senado opera exclusivamente sobre HTTP sin cifrar, con Apache 2.2.22 y OpenSSL 1.0.1 (ambos EOL). WebDAV habilitado. 0/8 headers de seguridad.

Por qué importa: Un atacante con acceso a la red podria interceptar sesiones y modificar el texto publicado de las leyes colombianas.

Software obsoletoConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-03

Portal SSL-VPN publico con firma canonica FortiGate

Crítica

vpn.supersalud.gov.co (190.71.149.50) redirige a /remote/login, ruta canonica de FortiGate SSL-VPN. Sin autenticar no se determina version de firmware.

Por qué importa: La familia FortiGate ha tenido 5+ CVEs criticas explotadas en produccion (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762, CVE-2024-23113, CVE-2024-47575). Si firmware < 7.4.5 / 7.2.10 / 7.0.16, hay riesgo activo.

API expuestaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Posible conn_mongo hardcoded en repo público que menciona nortedesantander.gov.co

Crítica

GitHub code search detecta patron 'conn_mongo' en MarlonPrado/back_vivecolegioDev (.env). Fragmento: NODE_ENV= production DATABASE_URL_TYPE_ORM="mongodb://db_user_vivecolegios:db_user_vivecolegios2022@vivecolegios.nortedesantander.gov.co/app_db_vivecolegios?retryWrites=true&w=majority" DATABASE_URL

Por qué importa: Codigo publico que menciona el dominio + patron tipo credencial sugiere fuga de secretos a traves de repos personales/contratistas. Validar manualmente si el secreto sigue activo o ya fue rotado.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

Ambiente de no-produccion expuesto en internet (2)

Crítica

Subdominios alcanzables: sandbox.car.com.co, preprod.car.com.co.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cluster interno (kc/kf/ee + VPN principal) publicado en DNS publico

Crítica

kc.cartagena.gov.co, kf.cartagena.gov.co, ee.cartagena.gov.co y vpn.cartagena.gov.co son alcanzables por nombre desde cualquier internet, aunque sus HTTPS hacen timeout.

Por qué importa: Los nombres de los sistemas internos en DNS publico permiten a un atacante con IA inventariarlos en segundos. Bruteforce trivial los descubre incluso si no estan en CT logs.

API expuestaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Ambiente de no-produccion expuesto en internet (2)

Crítica

Subdominios alcanzables: sandbox.combarranquilla.com, preprod.combarranquilla.com.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Ambiente de no-produccion expuesto en internet (2)

Crítica

Subdominios alcanzables: api.dev.ia-dts.transmilenio.gov.co, mapadigital-dev.transmilenio.gov.co.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Ambiente de no-produccion expuesto en internet (17)

Crítica

Subdominios alcanzables: api.satellites4people.test.ia.fondoadaptacion.gov.co, datacatalog.test.ia.fondoadaptacion.gov.co, projectgenerator.test.ia.fondoadaptacion.gov.co, nadya.test.ia.fondoadaptacion.gov.co, api-prescriptive-modeling.test.ia.fondoadaptacion.gov.co.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Repositorio .git accesible publicamente en orfeo.crautonoma.gov.co

Crítica

GET https://orfeo.crautonoma.gov.co/.git/HEAD retorna HTTP 200 con contenido valido de Git (ref: refs/heads/master...). El directorio .git completo es descargable.

Por qué importa: Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Repositorio .git accesible publicamente en oab.ambientebogota.gov.co

Crítica

GET https://oab.ambientebogota.gov.co/.git/config retorna HTTP 200 con contenido valido de Git ([core] repositoryformatversion = 0 filemode = true bare = false logallrefupd...). El directorio .git completo es descargable.

Por qué importa: Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Repositorio .git accesible publicamente en agenda.upn.edu.co

Crítica

GET https://agenda.upn.edu.co/.git/HEAD retorna HTTP 200 con contenido valido de Git (ref: refs/heads/master...). El directorio .git completo es descargable.

Por qué importa: Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Repositorio .git accesible publicamente en utp.edu.co

Crítica

GET https://utp.edu.co/.git/config retorna HTTP 200 con firma valida de configuracion Git. No se publica contenido del archivo; la exposicion indica que metadatos del repositorio son accesibles publicamente.

Por qué importa: Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

Repositorio .git accesible publicamente en www.utp.edu.co

Crítica

GET https://www.utp.edu.co/.git/config retorna HTTP 200 con contenido valido de Git ([core] repositoryformatversion = 0 filemode = true bare = false logallrefupd...). El directorio .git completo es descargable.

Por qué importa: Acceso al .git permite descarga del codigo fuente completo, historial de commits, credenciales eliminadas en versiones previas, archivos de configuracion. Es uno de los hallazgos mas graves: equivale a entregar el repositorio interno al publico.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Repositorio Git público con remote identificable en car-sda-bogota

Crítica

GET /.git/config retorna config válida con remotes: https://github.com/jbolanosrmc/oab-wp.git. git-dumper recovery del repo completo es trivial.

Por qué importa: Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Repositorio Git público con remote identificable en univ-utp

Crítica

GET /.git/config retorna config válida con remotes: git@gitlab.com:CRIE-UTP/portal-principal-php.git. git-dumper recovery del repo completo es trivial.

Por qué importa: Un .git/config visible identifica el repositorio remoto (GitHub/GitLab privado de la entidad). Aún sin acceso al remoto, el atacante puede recuperar el TODO el árbol de archivos del .git público con git-dumper, obteniendo: código fuente completo, lógica de negocio, validaciones cliente, comentarios internos, credenciales históricas commiteadas.

Código fuente expuestoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Compromiso casi automático — 4 categorías de crítica concurrentes

Crítica

Entidad presenta vulnerabilidades críticas concurrentes en 17 hallazgos: bucket, phpmyadmin, tomcat, wp-content/debug. La concurrencia de tres o más vectores con auth débil/ausente eleva la probabilidad de un compromiso casi automático: un atacante puede combinar exposición de configuración (actuator/env), control administrativo (phpMyAdmin/Tomcat) y código fuente (.git, debug.log) para obtener acceso completo en cuestión de minutos.

Por qué importa: Entidades con tres o más vectores críticos concurrentes son el caso típico de un breach completo (no de un escalamiento parcial). Tomar acción inmediata: cerrar todos los paneles administrativos públicos, rotar credenciales detectables en bundles JS y archivos .bak, restablecer secrets de Spring Boot.

compromiso lateralA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS refleja Origin con Allow-Credentials en dev.comfama.com

Crítica

La respuesta refleja un Origin externo de prueba y habilita Allow-Credentials: true; no se publica el origen exacto usado en la verificacion.

Por qué importa: Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS refleja Origin con Allow-Credentials en www.comfama.com

Crítica

La respuesta refleja un Origin externo de prueba y habilita Allow-Credentials: true; no se publica el origen exacto usado en la verificacion.

Por qué importa: Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS refleja Origin con Allow-Credentials en detourpanel.cundinamarca.gov.co

Crítica

La respuesta refleja un Origin externo de prueba y habilita Allow-Credentials: true; no se publica el origen exacto usado en la verificacion.

Por qué importa: Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS refleja Origin con Allow-Credentials en www.udistrital.edu.co

Crítica

La respuesta refleja un Origin externo de prueba y habilita Allow-Credentials: true; no se publica el origen exacto usado en la verificacion.

Por qué importa: Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS refleja Origin con Allow-Credentials en udistrital.edu.co

Crítica

La respuesta refleja un Origin externo de prueba y habilita Allow-Credentials: true; no se publica el origen exacto usado en la verificacion.

Por qué importa: Reflejar el Origin solicitado con Allow-Credentials: true permite a un sitio malicioso hacer requests autenticados como el usuario de la víctima y leer la respuesta. Equivale a anular la same-origin policy.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CVE-2019-11043: PHP-FPM heap overflow — RCE preauth

Crítica

Stack PHP 7.2 (EOL nov-2020) detectado. CVE-2019-11043 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Idem CVE-2019-11043. PHP 7.0-7.3 vulnerable sin parche.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

Enumeracion de 19 cuentas con indicios de cuenta administrativa en CCE

Crítica

La API REST de WordPress de Colombia Compra Eficiente expone 19 cuentas de usuario, incluida una cuenta con nombre administrativo; no se publica el identificador concreto.

Por qué importa: La cuenta de administrador de base de datos expuesta facilita ataques dirigidos a la plataforma de contratacion publica.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-03

wp-content/debug.log público en www.bucaramanga.gov.co

Crítica

GET https://www.bucaramanga.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en bucaramanga.gov.co

Crítica

GET https://bucaramanga.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en cucuta.gov.co

Crítica

GET https://cucuta.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en intranet.corpouraba.gov.co

Crítica

GET https://intranet.corpouraba.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en cortesuprema.gov.co

Crítica

GET https://cortesuprema.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en turismo.choco.gov.co

Crítica

GET https://turismo.choco.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en icanh.gov.co

Crítica

GET https://icanh.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en www.uniajc.edu.co

Crítica

GET https://www.uniajc.edu.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en unicordoba.edu.co

Crítica

GET https://unicordoba.edu.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en www.unicordoba.edu.co

Crítica

GET https://www.unicordoba.edu.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

wp-content/debug.log público en upme.gov.co

Crítica

GET https://upme.gov.co/wp-content/debug.log retorna log de errores PHP de WordPress.

Por qué importa: El debug.log de WordPress contiene stack traces, paths absolutos del servidor, queries SQL y a veces credenciales. Acceso público es divulgación crítica.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 2 errores fatales en alc-bucaramanga

Crítica

GET /wp-content/debug.log: 2 fatal + 124 warnings. Paths internos del servidor leaked: 2 (/usr/share/pear, /usr/share/php). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 3 errores fatales en alc-cucuta

Crítica

GET /wp-content/debug.log: 3 fatal + 178 warnings. Paths internos del servidor leaked: 5 (/var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-721.css, /var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-553.css, /var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-29173.css). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 84 errores fatales en icanh

Crítica

GET /wp-content/debug.log: 84 fatal + 0 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-cron.php, /var/www/html/wp-content/plugins/autoptimize/classes/external/php/jsmin.php, /var/www/html/wp-settings.php). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 16 errores fatales en univ-uniajc

Crítica

GET /wp-content/debug.log: 16 fatal + 34 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-content/themes/UNIAJC_test/fragments/code-92.php, /var/www/html/wp-content/themes/UNIAJC_test/functions-additional.php, /var/www/html/wp-includes/functions.php). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 1 errores fatales en univ-unicordoba

Crítica

GET /wp-content/debug.log: 1 fatal + 0 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-content/plugins/the-events-calendar/common/src/Tribe/Container.php, /var/www/html/wp-cron.php, /var/www/html/wp-settings.php). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress debug.log público con 5 errores fatales en upme

Crítica

GET /wp-content/debug.log: 5 fatal + 171 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-settings.php, /var/www/html/wp-includes/kses.php, /var/www/html/wp-includes/functions.php). DB credentials visibles en texto: 0.

Por qué importa: Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Divulgación de informaciónA09:2021 — Security Logging and Monitoring FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

Ausencia total de canal de divulgacion responsable

Crítica

Ninguno de los 13 subdominios alive publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado. La crisis va a prensa antes que a la Alcaldia.

Divulgación responsableConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

phpMyAdmin accesible en intranet.armenia.gov.co

Crítica

GET https://intranet.armenia.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en soporte.palmira.gov.co

Crítica

GET https://soporte.palmira.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en sig.villavicencio.gov.co

Crítica

GET https://sig.villavicencio.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

phpMyAdmin accesible en gobierno.villavicencio.gov.co

Crítica

GET https://gobierno.villavicencio.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en api.villavicencio.gov.co

Crítica

GET https://api.villavicencio.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

phpMyAdmin accesible en intranet.crautonoma.gov.co

Crítica

GET https://intranet.crautonoma.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en contraloriadelatlantico.gov.co

Crítica

GET https://contraloriadelatlantico.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en www.contraloriadelatlantico.gov.co

Crítica

GET https://www.contraloriadelatlantico.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en citas.hus.org.co

Crítica

GET https://citas.hus.org.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en www.hus.org.co

Crítica

GET https://www.hus.org.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en hus.org.co

Crítica

GET https://hus.org.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en www.subrednorte.gov.co

Crítica

GET https://www.subrednorte.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en subrednorte.gov.co

Crítica

GET https://subrednorte.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en educacion.cordoba.gov.co

Crítica

GET https://educacion.cordoba.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en intranet.humboldt.org.co

Crítica

GET https://intranet.humboldt.org.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en proyectos.humboldt.org.co

Crítica

GET https://proyectos.humboldt.org.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en dev.personeriabucaramanga.gov.co

Crítica

GET https://dev.personeriabucaramanga.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en personeriabucaramanga.gov.co

Crítica

GET https://personeriabucaramanga.gov.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en www.itm.edu.co

Crítica

GET https://www.itm.edu.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin accesible en mercurio.pascualbravo.edu.co

Crítica

GET https://mercurio.pascualbravo.edu.co/phpmyadmin/

Por qué importa: phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin unknown expuesto en alc-armenia (control DB potencial)

Crítica

phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.

Por qué importa: phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin unknown expuesto en ctr-atlantico (control DB potencial)

Crítica

phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.

Por qué importa: phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin unknown expuesto en ese-hus-cundinamarca (control DB potencial)

Crítica

phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.

Por qué importa: phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

phpMyAdmin unknown expuesto en ese-subred-norte (control DB potencial)

Crítica

phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.

Por qué importa: phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Archivo de configuracion .env accesible en mail.putumayo.gov.co

Crítica

GET https://mail.putumayo.gov.co/.env retorna HTTP 200 con sintaxis de variables de entorno. Snippet: APP_NAME="Gobernación del Putumayo" APP_ENV=production APP_KEY=<redacted secret> APP_D.

Por qué importa: Los archivos .env contienen credenciales de base de datos, API keys, tokens de servicios externos, secretos de firma. Su exposicion publica permite acceso directo a sistemas backend e impersonacion frente a APIs externas.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Archivo de configuracion .env accesible en putumayo.gov.co

Crítica

GET https://putumayo.gov.co/.env retorna HTTP 200 con sintaxis de variables de entorno. Snippet: APP_NAME="Gobernación del Putumayo" APP_ENV=production APP_KEY=<redacted secret> APP_D.

Por qué importa: Los archivos .env contienen credenciales de base de datos, API keys, tokens de servicios externos, secretos de firma. Su exposicion publica permite acceso directo a sistemas backend e impersonacion frente a APIs externas.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Archivo de configuracion .env accesible en www.putumayo.gov.co

Crítica

GET https://www.putumayo.gov.co/.env retorna HTTP 200 con sintaxis de variables de entorno. Snippet: APP_NAME="Gobernación del Putumayo" APP_ENV=production APP_KEY=<redacted secret> APP_D.

Por qué importa: Los archivos .env contienen credenciales de base de datos, API keys, tokens de servicios externos, secretos de firma. Su exposicion publica permite acceso directo a sistemas backend e impersonacion frente a APIs externas.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex arauca-arauca.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex galapa-atlantico.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex girardot-cundinamarca.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex giron-santander.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex inirida-guainia.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex jamundi.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex malambo-atlantico.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex mitu-vaupes.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex mocoa-putumayo.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex alcaldianeiva.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex popayan.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex puertocarreno-vichada.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex quibdo-choco.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex riohacha-laguajira.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex alcaldiadesincelejo.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex turbaco-bolivar.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex turbo-antioquia.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.2 (EOL)

Crítica

Apex centrodememoriahistorica.gov.co reporta: PHP 7.2 (EOL), PHP EOL (PHP/7.2.30).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.2 (EOL)

Crítica

Apex contraloriacasanare.gov.co reporta: PHP 7.2 (EOL), PHP EOL (PHP/7.2.34).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

contraloriacesar.gov.co conserva indicios pasivos de ejecucion sobre PHP 5 fuera de soporte; no se publica una subversion exacta ni CVE especifico.

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Stack tecnologico fuera de soporte: IIS 8.5 (Win 2012 R2 EOL)

Crítica

Apex turbo-antioquia.gov.co reporta: IIS 8.5 (Win 2012 R2 EOL), IIS 8.5 (Windows Server 2012 R2 EOL oct 2023).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex capitalsalud.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.3 (EOL)

Crítica

Apex nuevaeps.com.co reporta: PHP 7.3 (EOL), PHP EOL (PHP/7.3.7).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.2 (EOL)

Crítica

Apex hdv.gov.co reporta: PHP 7.2 (EOL), PHP EOL (PHP/7.2.25).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex metrosalud.gov.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.6.38).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex pastosaludese.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex caldas.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex cesar.gov.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.6.40).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex personeriacali.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex personeriacartagena.gov.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.6.40).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sistema NRVCC opera sobre Windows Server 2012 R2 fuera de soporte

Crítica

nrvcc.supersalud.gov.co reporta Microsoft-IIS/8.5, banner que corresponde univocamente a Windows Server 2012/2012 R2. Soporte extendido finalizado el 10 de octubre de 2023.

Por qué importa: El registro de novedades de vigilancia de IPS/EPS lleva al menos 18 meses sin parches oficiales del sistema operativo. Cualquier CVE de Windows post-EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex ufps.edu.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.6.31).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex uniatlantico.edu.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.30).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex unicolmayor.edu.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 5 (EOL)

Crítica

Apex unillanos.edu.co reporta: PHP 5 (EOL), PHP EOL (PHP/5.3.10-1ubuntu3.21).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex univalle.edu.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.22).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.1 (EOL)

Crítica

Apex ut.edu.co reporta: PHP 7.1 (EOL), PHP EOL (PHP/7.1.30).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Drupal 7.103 en santamarta.gov.co (rama EOL)

Crítica

Detectado Drupal 7.103. Drupal 7 EOL ene-2025; Drupal 8 EOL nov-2021.

Por qué importa: Drupal en rama EOL acumula CVE criticas. CVE-2018-7600 (Drupalgeddon2), CVE-2019-6340 y otras facilitan RCE en versiones antiguas.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

WordPress 4.9.9 en crc.gov.co (EOL — branch <6.x)

Crítica

meta generator detecta WordPress 4.9.9. La rama 5.x ya no recibe parches de seguridad (EOL desde nov 2024).

Por qué importa: WordPress fuera de rama 6.x acumula CVE sin parche. Plugins y temas reciben actualizaciones que no pueden aplicarse a versiones tan antiguas. Vulnerabilidad RCE acumulada.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex icfe.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.9).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Ambiente de no-produccion expuesto en internet (2)

Crítica

Subdominios alcanzables: sandbox.fonprecon.gov.co, preprod.fonprecon.gov.co.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Ambiente de no-produccion expuesto en internet (2)

Crítica

Subdominios alcanzables: sandbox.cco.gov.co, preprod.cco.gov.co.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Stack tecnologico fuera de soporte: PHP 7.4 (EOL)

Crítica

Apex contraloriadebolivar.gov.co reporta: PHP 7.4 (EOL), PHP EOL (PHP/7.4.33).

Por qué importa: Software fuera de soporte no recibe parches de seguridad. Cualquier vulnerabilidad descubierta despues del EOL queda sin remediar.

Software obsoletoConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Certificado SSL invalido en 2 ministerios

Alta

MinAgricultura y MinDefensa siguen pendientes de revision por certificados SSL invalidos o no coincidentes. MinInterior, MinDeporte y MinAmbiente se retiraron del agregado tras verificacion pasiva del 2026-06-27 con certificado valido para el portal www; cuando el dominio raiz no resuelve, queda cubierto por el hallazgo correspondiente.

Por qué importa: Ministerios con SSL roto generan advertencias de seguridad en navegadores, erosionando la confianza institucional.

Configuración SSLConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-03

Certificado SSL invalido en 6 entidades adicionales

Alta

ADR, ICETEX, ANLA, ARN, Policia Nacional y Armada siguen pendientes de revision por SSL invalido. Banco Agrario, ICFES, DANE, ICA, INDUMIL y ANDJE se retiraron del agregado tras verificacion pasiva del 2026-06-27; cuando el dominio raiz no resuelve, queda cubierto por el hallazgo correspondiente.

Por qué importa: Portales del Estado con SSL roto generan advertencias de seguridad en navegadores, erosionando la confianza institucional.

Configuración SSLConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-03

SuperFinanciera: certificado TLS no coincide en dominio raiz

Alta

El dominio raíz superfinanciera.gov.co falla validación TLS porque presenta un certificado para *.azureedge.net; con excepción TLS responde 404. El host www.superfinanciera.gov.co sí presenta certificado EV válido.

Por qué importa: Un dominio raiz de un regulador financiero que falla TLS degrada confianza, rompe clientes estrictos y puede normalizar que usuarios ignoren advertencias de seguridad.

Configuración SSLConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DMARC en modo permisivo (quarantine) sin reportes

Alta

_dmarc.supersalud.gov.co publica v=DMARC1; p=quarantine sin campos rua/ruf. No hay rechazo activo de correos no autenticados.

Por qué importa: Un atacante puede enviar correos suplantando @supersalud.gov.co a IPS/EPS vigiladas, vector ya explotado en sector salud LATAM 2024-2025. Sin rua/ruf, ceguera total ante intentos de spoofing.

Datos personalesConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-28

Sin registros CAA --- cualquier CA puede emitir certificados

Alta

dig CAA cartagena.gov.co retorna vacio. Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion.

Por qué importa: Combinado con monitoreo CT incompleto, un atacante puede generar certificados validos para spoofing sin que la Alcaldia lo detecte automaticamente.

Configuración SSLConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-28

DMARC en modo permisivo (quarantine en lugar de reject)

Alta

_dmarc.cartagena.gov.co publica v=DMARC1; p=quarantine con rua/ruf habilitados, pero sin rechazo activo de correos no autenticados.

Por qué importa: Un atacante puede suplantar @cartagena.gov.co contra ciudadanos, proveedores y entes territoriales. Los correos van a spam pero no son rechazados.

Datos personalesConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-28

SuperVigilancia: cadena TLS no validable en portal principal

Alta

El portal supervigilancia.gov.co presenta un certificado vigente para *.supervigilancia.gov.co y supervigilancia.gov.co, pero la validación TLS estándar falla por cadena incompleta: curl y OpenSSL reportan unable to get local issuer certificate.

Por qué importa: Una cadena TLS incompleta rompe clientes estrictos, degrada confianza en el portal y puede normalizar que usuarios ignoren advertencias de seguridad. El wildcard observado no es el problema por sí solo; la corrección requerida es entregar la cadena/intermedios adecuados.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado TLS de camara.gov.co EXPIRADO hace 79 días

Alta

Cert venció el Feb 12 23:59:59 2026 GMT. Los navegadores muestran advertencia de seguridad bloqueante.

Por qué importa: Cert expirado en producción indica falla de monitoreo de renovación. Usuarios reciben advertencia y abandonan; OAuth/SSO falla; integraciones automáticas se rompen.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

SPF ausente en secretariasenado.gov.co

Alta

No hay registro v=spf1 publicado.

Por qué importa: Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @secretariasenado.gov.co. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

SPF ausente en gov.co

Alta

No hay registro v=spf1 publicado.

Por qué importa: Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @gov.co. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

SPF ausente en datos.gov.co

Alta

Consulta TXT de datos.gov.co no devuelve registro v=spf1 al 2026-06-27.

Por qué importa: Sin SPF, el dominio no declara que servidores estan autorizados para enviar correo en su nombre; debe alinearse con DMARC o documentarse que el dominio no envia correo.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DMARC en modo none (no reject)

Alta

_dmarc.bolivar.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @bolivar.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-04-27

Publicado

2026-04-27

Activo

2026-05-02

CRA: cadena TLS incompleta en el dominio principal

Alta

La validación TLS estándar para https://cra.gov.co/ falla por cadena incompleta: curl reporta unable to get local issuer certificate y el análisis TLS marca chainValid=false con chainLength=1.

Por qué importa: Una cadena TLS incompleta genera errores de confianza en clientes estrictos, rompe integraciones y puede normalizar excepciones de certificado en usuarios o sistemas automatizados.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CVE-2022-31625: PHP heap use-after-free en pg_query_params

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-31625 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Afecta PHP 7.4.x. Explotable si el portal usa funciones Postgres con input controlado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

SuperNotariado: jQuery 2.2.4 en pagina publica de servicios

Alta

La pagina publica de servicios carga jQuery 2.2.4 desde un CDN publico; esa version esta asociada a CVEs conocidos y requiere actualizacion o mitigacion.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Registros de propiedad inmobiliaria de todos los colombianos. Datos con implicaciones patrimoniales directas. Poblacion afectada: todos los propietarios de inmuebles.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-04

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.bolivar.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CORS refleja Origin arbitrario en soporte.iiap.org.co

Alta

La respuesta refleja un Origin externo de prueba en Access-Control-Allow-Origin; no se observo cabecera de credenciales.

Por qué importa: Reflejar el Origin sin validar permite que cualquier sitio haga requests CORS. Sin Allow-Credentials el impacto es menor pero sigue siendo configuración débil.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

ANDJE rastrea ciudadanos con servicios de rastreo

Alta

El portal de Agencia Nacional de Defensa Juridica del Estado carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de estrategia juridica del Estado en litigios con valor de billones de pesos. Poblacion afectada: Estado colombiano en litigios.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.saludtotal.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

CORS Allow-Origin '*' con Allow-Credentials en mintic.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

SAE rastrea ciudadanos con servicios de rastreo

Alta

El portal de Sociedad de Activos Especiales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de bienes incautados al narcotrafico y crimen organizado. Informacion sensible de seguridad. Poblacion afectada: Estado y personas con bienes incautados.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

FNA rastrea ciudadanos con servicios de rastreo

Alta

El portal de Fondo Nacional del Ahorro carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos financieros de millones de ahorradores colombianos incluyendo cesantias y creditos de vivienda. Poblacion afectada: ~3 millones de afiliados.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Sin registros CAA

Alta

dig CAA concejodebogota.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Subdominios no productivos enumerables en DNS publico

Alta

preprod.cartago-valle.gov.co y sandbox.cartago-valle.gov.co resuelven en DNS publico; no se confirma servicio web activo en la revision pasiva.

Por qué importa: Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Hostname VPN de desarrollo enumerable en DNS publico

Alta

vpn.dev.cartagena.gov.co conserva resolucion DNS publica hacia infraestructura AWS. La revision pasiva actual no confirma portal VPN activo; se publica como exposicion de hostname sensible de desarrollo, no como servicio VPN accesible.

Por qué importa: Nombrar y publicar activos de desarrollo reduce el esfuerzo de reconocimiento externo y puede revelar infraestructura que deberia estar inventariada, protegida o retirada si ya no se usa.

API expuestaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-28

IDEAM carga jQuery 1.11.0 vulnerable en tema Drupal

Alta

El portal de IDEAM carga jQuery 1.11.0 desde /themes/custom/ideam/js/jquery-1.11.0.min.js; esa version esta dentro de rangos afectados por CVE-2020-11022, CVE-2020-11023, CVE-2019-11358 y CVE-2015-9251.

Por qué importa: jQuery 1.11.0 esta fuera de soporte y acumula vulnerabilidades XSS conocidas. En un portal de alertas climaticas, una dependencia vulnerable aumenta riesgo de manipulacion de contenido, robo de sesion o inyeccion de codigo a ciudadanos.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCiencias carga jQuery 1.10.2 vulnerable

Alta

La portada de MinCiencias carga jQuery 1.10.2 desde ajax.googleapis.com y assets Drupal. Esa versión está asociada a CVE-2015-9251, CVE-2019-11358, CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Dependencias JavaScript vulnerables amplían la superficie de XSS o manipulación de DOM cuando se combinan con contenido no confiable, integraciones de terceros o plantillas heredadas.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.adres.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.bello.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.bucaramanga.gov.co, vpn.bucaramanga.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.cali.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: extranet.cartago-valle.gov.co, vpn.cartago-valle.gov.co, intranet.cartago-valle.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.cucuta.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.envigado.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.itagui.gov.co, intranet.itagui.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.jamundi.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.manizales.gov.co, vpn.manizales.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.medellin.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.palmira.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.popayan.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.rionegro.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.sabaneta.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.amco.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.carder.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.corpamag.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.corpoamazonia.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.corpoguavio.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.corporinoquia.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.corpouraba.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.crc.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: vpn.car.com.co, intranet.car.com.co, extranet.car.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.cafam.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.cajamag.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: vpn.combarranquilla.com, intranet.combarranquilla.com, extranet.combarranquilla.com.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.comfacauca.com.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.comfama.com.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.comfenalcovalle.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.confa.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.centrodememoriahistorica.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.contraloriadecundinamarca.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.contraloriavalledelcauca.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.dni.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Hostname VPN enumerable en DNS publico

Alta

vpn.transmilenio.gov.co resuelve en DNS publico; no se confirma respuesta web del portal VPN en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Hostnames intranet/VPN enumerables en DNS publico

Alta

intranet.famisanar.com.co y vpn.famisanar.com.co resuelven en DNS publico; no se confirma acceso web a intranet o VPN en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.nuevaeps.com.co, intranet.nuevaeps.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.saviasaludeps.com.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.herasmomeoz.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.hflleras.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.hgm.gov.co, intranet.hgm.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.hus.gov.co, intranet.hus.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.huv.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.imsalud.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.subredcentrooriente.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.subredsur.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.fondoadaptacion.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.antioquia.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.casanare.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.cauca.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: extranet.huila.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.meta.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.narino.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.risaralda.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.santander.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.valledelcauca.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.insor.gov.co, vpn.insor.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: intranet.personeriamedellin.gov.co, vpn.personeriamedellin.gov.co, extranet.personeriamedellin.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.sanatorioaguadedios.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.areandina.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.cesa.edu.co, vpn.cesa.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.cuc.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.ecci.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.icesi.edu.co, intranet.icesi.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.javeriana.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.javerianacali.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.poligran.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Hostname de intranet enumerable en DNS publico

Alta

intranet.ucundinamarca.edu.co resuelve en DNS publico; no se confirma acceso web a la intranet en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.udea.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Hostname VPN enumerable en DNS publico

Alta

vpn.ufps.edu.co resuelve en DNS publico; no se confirma respuesta web del portal VPN en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Hostname de intranet enumerable en DNS publico

Alta

intranet.umng.edu.co resuelve en DNS publico; no se confirma acceso web a la intranet en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.unab.edu.co, vpn.unab.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.unad.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.unal.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.unicauca.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.unicesar.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.unillanos.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.unimagdalena.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.unipamplona.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.univalle.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.urosario.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.usergioarboleda.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.utb.edu.co, vpn.utb.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.itagui.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: intranet.camara.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: mercurio.comfacauca.com

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.comfenalcovalle.com.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (3)

Alta

Hosts: intranet.cnsc.gov.co, vpn.cnsc.gov.co, onbase.cnsc.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: vpn.contraloria.gov.co, owa.contraloria.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (3)

Alta

test.corteconstitucional.gov.co y qa.corteconstitucional.gov.co siguen resolviendo y responden HTTP 200 con Microsoft-IIS/10.0; intranet.corteconstitucional.gov.co sigue resolviendo en DNS publico, aunque la conexion HTTPS actual queda en timeout. Verificado pasivamente el 2026-06-27.

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.cortesuprema.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Hostnames sensibles enumerables en DNS publico

Alta

intranet.funcionpublica.gov.co y grafana.funcionpublica.gov.co resuelven en DNS publico; no se confirma panel de Grafana ni acceso de intranet en la revision pasiva.

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: intranet.defensoria.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominio VPN publico en DNS de fac.mil.co

Alta

vpn.fac.mil.co resuelve publicamente a 190.14.250.130. Las conexiones HTTP/HTTPS desde la posicion de prueba agotan tiempo, por lo que el sintoma confirmado es exposicion DNS de endpoint VPN, no una API web navegable.

Por qué importa: Un subdominio VPN publicado en DNS aumenta la superficie de reconocimiento y debe mantenerse inventariado, filtrado y monitoreado aunque no exponga una pagina web desde todas las redes.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-06-27

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: vpn.mincit.gov.co, gitlab.mincit.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: intranet.mineducacion.gov.co, vpn.mineducacion.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: vpn.minenergia.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: vpn.registraduria.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: test.sic.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: intranet.superservicios.gov.co, gitlab.superservicios.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (2)

Alta

Hosts: intranet.unidadvictimas.gov.co, vpn.unidadvictimas.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.itm.edu.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.uis.edu.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: gitlab.unal.edu.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: jira.uniandes.edu.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

intranet.unp.gov.co sigue resolviendo en DNS publico y responde HTTPS 401 Unauthorized con Microsoft-IIS/10.0, confirmando una superficie de autenticacion de intranet accesible desde internet. Verificado pasivamente el 2026-06-27.

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Subdominios sensibles nuevos descubiertos en wordlist extendida (1)

Alta

Hosts: intranet.upme.gov.co

Por qué importa: Subdominios con prefijos de no-produccion o de paneles/herramientas internas alcanzables desde DNS publico. Cada uno expande la superficie y suele tener menor hardening que el portal principal.

API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en test.cali.gov.co, www.cali.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en itagui.gov.co, www.itagui.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 3 host(s) — observabilidad reducida

Alta

El portal en ftp.monteria.gov.co, monteria.gov.co, www.monteria.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en tramites.pasto.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en pereira.gov.co, www.pereira.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en popayan.gov.co, tramites.popayan.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en sanjosedelguaviare-guaviare.gov.co, www.sanjosedelguaviare-guaviare.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en soledad-atlantico.gov.co, www.soledad-atlantico.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en tunja-boyaca.gov.co, www.tunja-boyaca.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en www.yopal-casanare.gov.co, yopal-casanare.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en tumaco-narino.gov.co, www.tumaco-narino.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en amazonas.gov.co, www.amazonas.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en caqueta.gov.co, www.caqueta.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en choco.gov.co, www.choco.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en cundinamarca.gov.co, vuv.cundinamarca.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en guainia.gov.co, www.guainia.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en guaviare.gov.co, www.guaviare.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en laguajira.gov.co, www.laguajira.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en datos.magdalena.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en git.meta.gov.co, meta.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en narino.gov.co, www.narino.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en nortedesantander.gov.co, www.nortedesantander.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en risaralda.gov.co, www.risaralda.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en santander.gov.co, www.santander.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en sucre.gov.co, www.sucre.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 3 host(s) — observabilidad reducida

Alta

El portal en intranet.valledelcauca.gov.co, valledelcauca.gov.co, www.valledelcauca.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en vaupes.gov.co, www.vaupes.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 2 host(s) — observabilidad reducida

Alta

El portal en vichada.gov.co, www.vichada.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

ICBF: rutas inexistentes terminan en busqueda HTTP 200

Alta

Rutas inexistentes o nombres sensibles como /web.config.bak, /aws.json y una ruta aleatoria redirigen a /buscar?search=... y terminan en HTTP 200; /.env devuelve 403.

Por qué importa: Responder 200 para rutas inexistentes reduce observabilidad: dificulta distinguir rutas reales de busquedas automaticas y puede ocultar exposiciones reales entre falsos positivos.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en invias.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en migracioncolombia.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en mintransporte.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en presidencia.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Servidor catch-all en 1 host(s) — observabilidad reducida

Alta

El portal en sgc.gov.co retorna HTTP 200 con la misma página para múltiples rutas inexistentes (paths sensibles como /.env, /web.config.bak, /aws.json devuelven el mismo HTML que /). Comportamiento típico de SPAs/CMS sin handler 404 explícito.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

UPRA redirige rutas inexistentes a busqueda con HTTP 200

Alta

Rutas inexistentes en upra.gov.co redirigen a /es-co/search/node y terminan en HTTP 200, reduciendo la capacidad de distinguir rutas reales de rutas no mapeadas. En la verificacion del 2026-06-27, /.env devuelve 403 pero otros paths inexistentes siguen terminando en 200.

Por qué importa: Catch-all 200 (en vez de 404) impide a herramientas de auditoría externas distinguir entre rutas reales y rutas inexistentes. Crea ruido para defenders y oculta exposiciones reales bajo un mar de 'falsos 200'. Buena práctica: configurar handler 404 explícito que retorne código 4xx para rutas no mapeadas.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Apache mod_status accesible publicamente en cda.gov.co

Alta

GET https://cda.gov.co/server-status retorna HTTP 200 con metricas internas.

Por qué importa: mod_status expone IPs internas, URLs en proceso, vhost privados y carga del servidor. Filtra topologia de red y patrones de uso, util para mapeo de superficie de ataque.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Spring Boot Actuator root expuesto en dashboard.cali.gov.co

Alta

GET https://dashboard.cali.gov.co/actuator retorna catálogo de endpoints.

Por qué importa: Actuator root entrega lista de endpoints disponibles (info, health, env, heapdump). Configuración por defecto expone más de lo recomendado en producción.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Sin registros CAA

Alta

dig CAA armenia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA barranquilla.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA buenaventura.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cali.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cartago-valle.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA envigado.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA funza-cundinamarca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA palmira.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA pitalito-huila.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA sabaneta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA sanandres.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA santamarta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA soacha-cundinamarca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA metropol.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA corpoboyaca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA carder.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA carsucre.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA corantioquia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA corpoamazonia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA crq.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA casur.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cafam.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cajamag.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA comfacauca.com retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA comfama.com retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA comfandi.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA confa.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cremil.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cga.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriaarauca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriabogota.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriadecundinamarca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriaguajira.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriasantander.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA buenaventura.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA emcali.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA epm.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA etb.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA metrodemedellin.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA mio.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA transmilenio.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cajacopieps.com retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA compensar.com retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA emssanar.org.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA famisanar.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA nuevaeps.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA saludtotal.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA epssanitas.com retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA esecari.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hospitalyopal.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hdv.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hdn.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA herasmomeoz.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hospitalneiva.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA huv.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA isabu.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hospitalrosariopumarejo.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA subredcentrooriente.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA fomag.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA fondoadaptacion.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA atlantico.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA bolivar.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA boyaca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA quindio.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA sanandres.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA hospitalmilitar.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA humboldt.org.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA inci.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA invemar.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriabogota.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriaibague.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriamedellin.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personerianeiva.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriapuertocarreno.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriariohacha.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriavalledupar.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriavillavicencio.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA sanatorioaguadedios.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA sinchi.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA areandina.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cesa.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA colmayor.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA eafit.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA iberoamericana.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA itm.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA poligran.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA konradlorenz.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA politecnicojic.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA uan.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA ucundinamarca.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA udea.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA udistrital.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA udla.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unad.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unal.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unbosque.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA uniboyaca.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unicolmayor.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unillanos.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA uniminuto.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unipacifico.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA unipamplona.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA upn.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA uptc.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA usta.edu.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA vicepresidencia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex soacha-cundinamarca.gov.co retorna HTTP 502

Alta

Servidor: Microsoft-Azure-Application-Gateway/v2. Title: 502 Bad Gateway.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Apex cremil.gov.co retorna HTTP 404

Alta

Servidor: n/a. Title: -.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex etb.com.co retorna HTTP 404

Alta

Servidor: Microsoft-HTTPAPI/2.0. Title: Not Found.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex mio.com.co retorna HTTP 403

Alta

Servidor: Apache/2.2.15 (Oracle). Title: Apache HTTP Server Test Page powered by Linux.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex famisanar.com.co retorna HTTP 404

Alta

Servidor: n/a. Title: Page not found.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex hdn.gov.co retorna HTTP 404

Alta

Servidor: Sucuri/Cloudproxy. Title: Sucuri WebSite Firewall - Not Configured.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex santasofia.com.co retorna HTTP 403

Alta

Servidor: Apache. Title: 403 Forbidden.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Apex subredsur.gov.co retorna HTTP 404

Alta

Servidor: Microsoft-HTTPAPI/2.0. Title: Not Found.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Dominio apex retorna 404 sin redirigir al sitio

Alta

https://supersalud.gov.co/ responde 404 desde Microsoft-HTTPAPI/2.0 (kernel HTTP de Windows sin aplicacion detras), sin redirect al www.

Por qué importa: Cualquier usuario que escriba el dominio sin www recibe error generico. Indica configuracion Azure deficiente y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

intranet.* y www2.* publicos con visibilidad operativa pobre

Alta

intranet.supersalud.gov.co (Azure 20.253.6.223) y www2.supersalud.gov.co (201.217.202.3 Colombia) son alcanzables via DNS publico. Bruteforce trivial los descubre. HTTPS hace timeout.

Por qué importa: Activos huerfanos son vector primario para acceso inicial: tipicamente corren versiones antiguas, sin monitoreo ni parches. www2 ademas vive en infraestructura nacional paralela a la migracion Azure.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

CORS mal configurado en Banco de la Republica

Alta

El portal de Banco de la Republica acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. El Banco de la Republica define la politica monetaria. Informacion anticipada de decisiones de tasas podria ser explotada en mercados financieros. Poblacion afectada: toda la economia colombiana.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

CORS mal configurado en Corte Suprema de Justicia

Alta

El portal de Corte Suprema de Justicia acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Maximo tribunal de la jurisdiccion ordinaria. Investiga a congresistas y altos funcionarios. Datos procesales con proteccion especial. Poblacion afectada: partes procesales y aforados constitucionales.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CORS mal configurado en Financiera de Desarrollo Territorial

Alta

El portal de Financiera de Desarrollo Territorial acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Datos de financiacion de infraestructura territorial. Poblacion afectada: municipios y departamentos.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

CORS mal configurado en Ministerio de Hacienda y Credito Publico

Alta

El portal de Ministerio de Hacienda y Credito Publico acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Informacion fiscal sensible que afecta mercados financieros y calificaciones de riesgo soberano. Poblacion afectada: todo el sector publico y mercado financiero.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CORS Allow-Origin '*' con Allow-Credentials en intranet.bucaramanga.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en tramites.palmira.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en www.pereira.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en intranet.amco.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en www.contraloriavalledelcauca.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en contraloriavalledelcauca.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en api.casanare.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en auth.cundinamarca.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CORS Allow-Origin '*' con Allow-Credentials en gevir.cundinamarca.gov.co

Alta

Configuración inválida y peligrosa.

Por qué importa: Combinar '*' con Allow-Credentials: true es técnicamente inválido por especificación pero muchos browsers/configs lo aceptan. Vector de leak de datos autenticados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

SPF ausente en mio.com.co

Alta

No hay registro v=spf1 publicado.

Por qué importa: Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @mio.com.co. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SPF ausente en sinchi.gov.co

Alta

No hay registro v=spf1 publicado.

Por qué importa: Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @sinchi.gov.co. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.barrancabermeja.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @barrancabermeja.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.227.195.184 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.18.0.44 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.26.5.33 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.86.177.114 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.envigado.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @envigado.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.floridablanca.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @floridablanca.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.198.44.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.227.195.184 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.pitalito-huila.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @pitalito-huila.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.rionegro.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @rionegro.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.sabanalarga-atlantico.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @sabanalarga-atlantico.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.18.9.182 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.sanandres.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @sanandres.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.59.157 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.62.188 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.191.228.225 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.turbaco-bolivar.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @turbaco-bolivar.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.yumbo.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @yumbo.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.metropol.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @metropol.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.amco.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @amco.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.211.130.194 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.cardique.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @cardique.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.carsucre.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @carsucre.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.104.232.45 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.corantioquia.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @corantioquia.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.cormacarena.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @cormacarena.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 54.39.125.228 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.222.45.74 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.133.4 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.30.106 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.91.211.14 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.235.209.129 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados en CDN extranjero (Cloudflare US)

Alta

Apex y la mayoria de subdominios resuelven a 104.18.20.16 (Cloudflare AS13335, San Francisco, EE.UU.). vpn.dev.* esta en AWS us-east-1.

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.20.46.170 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.15.172 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriaarauca.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriaarauca.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.contraloriacasanare.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @contraloriacasanare.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriadecordoba.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriadecordoba.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriahuila.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriahuila.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloriasantander.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloriasantander.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.200.153 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.contraloriavalledelcauca.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @contraloriavalledelcauca.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.barrancabermeja.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @barrancabermeja.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.227.195.184 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.buenaventura.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @buenaventura.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.turbo-antioquia.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @turbo-antioquia.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.mio.com.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @mio.com.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.2.114 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 13.107.213.69 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.nuevaeps.com.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @nuevaeps.com.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.18.27.237 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.15.134 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.186.172.57 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.176.11 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.156.144 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.197.191.78 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.23.94.208 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.67.230 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.hus.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @hus.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.huv.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @huv.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.217.161 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.metrosalud.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @metrosalud.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.fomag.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @fomag.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.fondoadaptacion.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @fondoadaptacion.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.arauca.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @arauca.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.atlantico.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @atlantico.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.87.44 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.66.175.72 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.227.195.184 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.cundinamarca.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @cundinamarca.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.74.108 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.198.44.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.227.55.226 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.meta.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @meta.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.211.207 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.209.152.78 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.189.65 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.risaralda.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @risaralda.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.59.157 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.69.193 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.84.2.197 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.18.10.131 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.11.32.56 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.251.79.95 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.22.79 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.personeriabogota.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @personeriabogota.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.personeriaibague.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @personeriaibague.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.109.51.217 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.personeriavalledupar.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @personeriavalledupar.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.85.241 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.sinchi.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @sinchi.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos de portales publicos hospedados fuera de Colombia

Alta

Apex y mayoria de subdominios resuelven a 4.157.104.230 (Microsoft Azure AS8075, Washington/Virginia, EE.UU.).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC. Para una Superintendencia que sanciona este tipo de incumplimientos, el alojamiento extraterritorial es riesgo reputacional y disciplinario.

Datos personalesConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

DMARC en modo none (no reject)

Alta

_dmarc.areandina.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @areandina.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.20.37.183 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.cesa.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @cesa.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.7.38.99 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.colmayor.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @colmayor.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.iberoamericana.edu.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @iberoamericana.edu.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.73.9 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.itp.edu.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @itp.edu.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.26.2.107 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.210.0.72 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.lasalle.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @lasalle.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.pascualbravo.edu.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @pascualbravo.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.ucundinamarca.edu.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @ucundinamarca.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.18.0.29 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.223.71.114 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.udistrital.edu.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @udistrital.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.ufpso.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @ufpso.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.umng.edu.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @umng.edu.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 54.156.52.55 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.1.195.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.206.228.217 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.81.45.217 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.uniguajira.edu.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @uniguajira.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.26.12.132 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.191.97 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.unisabana.edu.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @unisabana.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 3.231.20.35 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.universidadean.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @universidadean.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.184.192.166 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.upn.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @upn.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.utp.edu.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @utp.edu.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2

Alta

Stack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

MinCiencias: Drupal 7.65 expuesto a CVE-2020-13671

Alta

CHANGELOG.txt y el meta generator siguen mostrando Drupal 7.65. CVE-2020-13671 fue corregido en Drupal 7.74, por lo que la versión observada queda antes del parche y además Drupal 7 está fuera de soporte upstream.

Por qué importa: Una versión de CMS por debajo del parche de seguridad y fuera de soporte incrementa el riesgo de explotación acumulada y reduce la disponibilidad de correcciones oficiales.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-31625: PHP heap use-after-free en pg_query_params

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-31625 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Afecta PHP 7.4.x. Explotable si el portal usa funciones Postgres con input controlado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

CVE-2022-37454: SHA-3 buffer overflow — afecta PHP 7.4

Alta

Stack PHP 7.4 (EOL nov-2022) detectado. CVE-2022-37454 afecta esta version y permite el comportamiento descrito sin parche post-EOL.

Por qué importa: Buffer overflow en hash extension. PHP 7.4 EOL recibe parche limitado.

Dependencias vulnerablesA06:2021 — Vulnerable and Outdated ComponentsConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-01

DIAN carga jQuery 3.4.1 con CVEs conocidos

Alta

La portada de DIAN carga jQuery 3.4.1; esta version esta asociada con CVE-2020-11022 y CVE-2020-11023. Verificado pasivamente el 2026-06-27.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. La DIAN custodia datos financieros de millones de contribuyentes. Un compromiso permitiria fraude tributario a escala nacional. El phishing suplantando a la DIAN es el fraude mas comun en Colombia. Poblacion afectada: ~15 millones de contribuyentes activos.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Medicina Legal carga jQuery 2.1.0 vulnerable

Alta

La portada publica carga jquery-2.1.0.min.js desde el tema Liferay. La version 2.1.0 esta asociada a CVE-2015-9251, CVE-2019-11358, CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Bibliotecas JavaScript vulnerables pueden facilitar XSS, robo de sesion o manipulacion de la interfaz. En un portal forense, el riesgo debe evaluarse con mayor rigor por la sensibilidad de los tramites y poblaciones afectadas.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Procuraduria carga jQuery 1.11.1 vulnerable

Alta

La portada de Procuraduria carga jQuery 1.11.1, version antigua asociada a CVEs conocidos como CVE-2020-11022, CVE-2020-11023, CVE-2015-9251 y CVE-2019-11358. Verificado pasivamente el 2026-06-27.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. La Procuraduria investiga disciplinariamente a todos los servidores publicos. Datos de investigaciones y sanciones disciplinarias. Poblacion afectada: todos los servidores publicos.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Rama Judicial: jQuery 3.4.1 vulnerable y Liferay 7.1.3 expuesto

Alta

La portada de Rama Judicial carga jQuery 3.4.1 desde code.jquery.com y divulga Liferay Community Edition Portal 7.1.3 CE GA4 (Build 7102, 2019) en cabeceras HTTP.

Por qué importa: jQuery anterior a 3.5.0 esta asociado a CVE-2020-11022 y CVE-2020-11023; ademas la version visible de Liferay facilita inventario de tecnologia y priorizacion de exploits contra una plataforma antigua.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperVigilancia carga jQuery 3.1.0 vulnerable

Alta

La portada de SuperVigilancia carga jQuery 3.1.0 desde /media/plugins/jquery/3.1.0/jquery.min.js. Esa versión está asociada a CVE-2019-11358, CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Dependencias JavaScript vulnerables amplían la superficie de XSS o manipulación de DOM cuando se combinan con contenido no confiable o integraciones de terceros. El texto anterior de “0 CVEs” era un error de plantilla y queda corregido.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Manifest de dependencias accesible publicamente: /composer.lock

Alta

GET https://fac.mil.co/composer.lock retorna 200 y expone un composer.lock valido con 148 paquetes, incluyendo drupal/core 9.4.3 y symfony/http-foundation v4.4.49.

Por qué importa: El manifest revela librerias y versiones exactas del sitio. Un atacante puede cruzarlas con CVEs y construir reconocimiento dirigido sin acceso autenticado.

Dependencias vulnerablesA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Manifest de dependencias accesible publicamente: /composer.lock

Alta

GET https://putumayo.gov.co/composer.lock retorna 200 con 4096 bytes.

Por qué importa: El manifest revela librerias y versiones exactas. Un atacante consulta CVE database y construye exploit dirigido sin reconocimiento adicional.

Dependencias vulnerablesA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Manifest de dependencias accesible publicamente: /package.json

Alta

GET https://putumayo.gov.co/package.json retorna 200 con 1107 bytes.

Por qué importa: El manifest revela librerias y versiones exactas. Un atacante consulta CVE database y construye exploit dirigido sin reconocimiento adicional.

Dependencias vulnerablesA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Manifest de dependencias accesible publicamente: /composer.lock

Alta

GET https://javerianacali.edu.co/composer.lock retorna 200 con 4096 bytes.

Por qué importa: El manifest revela librerias y versiones exactas. Un atacante consulta CVE database y construye exploit dirigido sin reconocimiento adicional.

Dependencias vulnerablesA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

URLs de ambiente interno/no-producción referenciadas desde amco.gov.co

Alta

Bundle del portal incluye referencias a hosts internos/staging: http://192.168.3.16

Por qué importa: Las URLs internas en código de producción revelan topología, hostnames de staging/dev y a veces APIs no destinadas al público. Acelera reconocimiento y descubre superficie no autorizada.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

URLs de ambiente interno/no-producción referenciadas desde subredcentrooriente.gov.co

Alta

Bundle del portal incluye una referencia a una direccion privada RFC1918 asociada a ambiente interno o staging. El valor concreto no se publica.

Por qué importa: Las URLs internas en código de producción revelan topología, hostnames de staging/dev y a veces APIs no destinadas al público. Acelera reconocimiento y descubre superficie no autorizada.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

URLs de ambiente interno/no-producción referenciadas desde www.fondoadaptacion.gov.co

Alta

Bundle del portal incluye referencias a hosts internos/staging: https://10.130.2.6

Por qué importa: Las URLs internas en código de producción revelan topología, hostnames de staging/dev y a veces APIs no destinadas al público. Acelera reconocimiento y descubre superficie no autorizada.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Headers exponen version exacta de PHP y Drupal

Alta

Cada respuesta del portal incluye X-Powered-By: PHP/8.3.30 y X-Generator: Drupal 10, ademas de SPRequestDuration y X-Drupal-Cache (telemetria interna).

Por qué importa: Cada header acelera la explotacion de vulnerabilidades de version especifica. Buena practica: ocultar Server, X-Powered-By y X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

WordPress REST expone listado de usuarios en intranet.bucaramanga.gov.co

Alta

GET https://intranet.bucaramanga.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en intranet.cali.gov.co

Alta

GET https://intranet.cali.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en cucuta.gov.co

Alta

GET https://cucuta.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en catastro.cucuta.gov.co

Alta

GET https://catastro.cucuta.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en salud.manizales.gov.co

Alta

GET https://salud.manizales.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en soporte.palmira.gov.co

Alta

GET https://soporte.palmira.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.corantioquia.gov.co

Alta

GET https://www.corantioquia.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en corantioquia.gov.co

Alta

GET https://corantioquia.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en cormagdalena.gov.co

Alta

GET https://cormagdalena.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en ftp.cormagdalena.gov.co

Alta

GET https://ftp.cormagdalena.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.cormagdalena.gov.co

Alta

GET https://www.cormagdalena.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en corponarino.gov.co

Alta

GET https://corponarino.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en corpouraba.gov.co

Alta

GET https://corpouraba.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en intranet.corpouraba.gov.co

Alta

GET https://intranet.corpouraba.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.crautonoma.gov.co

Alta

GET https://www.crautonoma.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en crautonoma.gov.co

Alta

GET https://crautonoma.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en crc.gov.co

Alta

GET https://crc.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en ftp.cvs.gov.co

Alta

GET https://ftp.cvs.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en intranet.comfacauca.com

Alta

GET https://intranet.comfacauca.com/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.comfacauca.com

Alta

GET https://www.comfacauca.com/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en centrodememoriahistorica.gov.co

Alta

GET https://centrodememoriahistorica.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

WordPress REST expone listado de usuarios en prosperidadsocial.gov.co

Alta

GET https://prosperidadsocial.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

WordPress REST expone listado de usuarios en transcaribe.gov.co

Alta

GET https://transcaribe.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.transcaribe.gov.co

Alta

GET https://www.transcaribe.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.cajacopieps.com

Alta

GET https://www.cajacopieps.com/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone 11 usuarios en esap.edu.co

Alta

GET https://www.esap.edu.co/wp-json/wp/v2/users?per_page=10 retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress 11; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: La enumeración pública de usuarios facilita fuerza bruta dirigida, phishing y correlación de cuentas válidas del WordPress institucional.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

WordPress REST expone listado de usuarios en homo.gov.co

Alta

GET https://homo.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.homo.gov.co

Alta

GET https://www.homo.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en citas.hus.org.co

Alta

GET https://citas.hus.org.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.hus.org.co

Alta

GET https://www.hus.org.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en hus.org.co

Alta

GET https://hus.org.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en hus.gov.co

Alta

GET https://hus.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.hus.gov.co

Alta

GET https://www.hus.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.subredsur.gov.co

Alta

GET https://www.subredsur.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en lamojana.ia.fondoadaptacion.gov.co

Alta

GET https://lamojana.ia.fondoadaptacion.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en turismo.choco.gov.co

Alta

GET https://turismo.choco.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en eldoradoradio.cundinamarca.gov.co

Alta

GET https://eldoradoradio.cundinamarca.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en academiaderechoshumanos.cundinamarca.gov.co

Alta

GET https://academiaderechoshumanos.cundinamarca.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en inm.gov.co

Alta

GET https://inm.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.inm.gov.co

Alta

GET https://www.inm.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.personeriamonteria.gov.co

Alta

GET https://www.personeriamonteria.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en personeriamonteria.gov.co

Alta

GET https://personeriamonteria.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en supernotariado.gov.co

Alta

GET https://supernotariado.gov.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.colmayor.edu.co

Alta

GET https://www.colmayor.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en ecci.edu.co

Alta

GET https://ecci.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.ecci.edu.co

Alta

GET https://www.ecci.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.itm.edu.co

Alta

GET https://www.itm.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en intranet.pascualbravo.edu.co

Alta

GET https://intranet.pascualbravo.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en ftp.pascualbravo.edu.co

Alta

GET https://ftp.pascualbravo.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.pascualbravo.edu.co

Alta

GET https://www.pascualbravo.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en pascualbravo.edu.co

Alta

GET https://pascualbravo.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.udem.edu.co

Alta

GET https://www.udem.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en udem.edu.co

Alta

GET https://udem.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www2.uis.edu.co

Alta

GET https://www2.uis.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en unab.edu.co

Alta

GET https://unab.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.unab.edu.co

Alta

GET https://www.unab.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.uniajc.edu.co

Alta

GET https://www.uniajc.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.unicauca.edu.co

Alta

GET https://www.unicauca.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en unicauca.edu.co

Alta

GET https://unicauca.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en unicordoba.edu.co

Alta

GET https://unicordoba.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.unicordoba.edu.co

Alta

GET https://www.unicordoba.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en planeacion.upn.edu.co

Alta

GET https://planeacion.upn.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en educacion.upn.edu.co

Alta

GET https://educacion.upn.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en ambiente.upn.edu.co

Alta

GET https://ambiente.upn.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

WordPress REST expone listado de usuarios en www.upn.edu.co

Alta

GET https://www.upn.edu.co/wp-json/wp/v2/users retorna HTTP 200/JSON con objetos publicos de usuarios o autores de WordPress; no se publican nombres, slugs, enlaces de autor ni muestras del cuerpo.

Por qué importa: El endpoint /wp-json/wp/v2/users entrega usernames y a veces emails de la instalación WP. Permite enumerar nombres válidos para bruteforce dirigido y phishing personalizado.

Divulgación de informaciónA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Especificación OpenAPI/Swagger pública en auth.cundinamarca.gov.co

Alta

GET https://auth.cundinamarca.gov.co/openapi.json retorna spec válida (versión 3.1.0, título 'Auth & Access Service', 7 endpoints documentados).

Por qué importa: La spec OpenAPI documenta cada endpoint del API: rutas, métodos, parámetros, schemas. Útil para integradores autorizados pero un atacante obtiene el mapa completo del API sin reconocimiento. Recomendación: protegerlo tras auth o no publicarlo en producción.

Documentación API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Panel administrativo /administrator/ accesible en www.pasto.gov.co

Alta

GET https://www.pasto.gov.co/administrator/ retorna HTTP 200 con un formulario de login.

Por qué importa: Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Panel administrativo /wp-admin/ accesible en negociosverdescorpochivor.gov.co

Alta

GET https://negociosverdescorpochivor.gov.co/wp-admin/ retorna HTTP 200 con un formulario de login.

Por qué importa: Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Panel administrativo /administrator/ accesible en mail.corpomojana.gov.co

Alta

GET https://mail.corpomojana.gov.co/administrator/ retorna HTTP 200 con un formulario de login.

Por qué importa: Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Panel administrativo /administrator/ accesible en www.corpomojana.gov.co

Alta

GET https://www.corpomojana.gov.co/administrator/ retorna HTTP 200 con un formulario de login.

Por qué importa: Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Panel administrativo /administrator/ accesible en www.atlantico.gov.co

Alta

GET https://www.atlantico.gov.co/administrator/ retorna HTTP 200 con un formulario de login.

Por qué importa: Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

CNE: panel administrativo Joomla accesible en /administrator/

Alta

La ruta /administrator/ responde HTTP 200 y muestra un formulario de autenticacion Joomla en el portal principal.

Por qué importa: Un panel administrativo expuesto a Internet aumenta superficie de enumeracion, fuerza bruta y explotacion contra el CMS; debe restringirse con controles de red o acceso adicional.

Panel administrativo expuestoA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Posible hardcoded_password hardcoded en repo público que menciona mindeporte.gov.co

Alta

Busqueda publica de codigo detecto una posible credencial SMTP hardcodeada asociada a mindeporte.gov.co en un repositorio de terceros. El valor sensible se omite de la ficha publica; la entidad debe verificar exposicion, revocar/rotar credenciales y revisar historial del repositorio.

Por qué importa: Credenciales expuestas en repositorios publicos pueden permitir acceso no autorizado a servicios institucionales. La ficha publica no reproduce secretos y debe usarse solo como indicador para verificacion y rotacion segura.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: probableObservado: 2026-05-01

Cronología

Activo

Observado

2026-05-01

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-01

Stack EOL 'IIS 8.5 (Win 2012 R2 EOL)' presente en 14 entidades del Estado

Alta

Entidades con esta tech: alc-arauca, alc-inirida, alc-mitu, alc-mocoa, alc-neiva, alc-popayan, alc-puerto-carreno, alc-quibdo

Por qué importa: Software fuera de soporte (IIS 8.5 (Win 2012 R2 EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack EOL 'PHP 7.4 (EOL)' presente en 13 entidades del Estado

Alta

Entidades con esta tech: alc-bucaramanga, alc-ibague, car-cda, car-cdmb, car-corpoamazonia, car-corponarino, car-sda-bogota, ese-pasto-salud

Por qué importa: Software fuera de soporte (PHP 7.4 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack EOL 'PHP 5 (EOL)' presente en 8 entidades del Estado

Alta

Entidades con esta tech: alc-cali, alc-ibague, car-cda, car-crc-cauca, emp-eaab, ese-metrosalud, ese-subred-norte, gob-cesar

Por qué importa: Software fuera de soporte (PHP 5 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack EOL 'PHP 7.2 (EOL)' presente en 6 entidades del Estado

Alta

Entidades con esta tech: alc-cali, car-cda, cnmh, ese-hd-villavicencio, gob-casanare, gob-quindio

Por qué importa: Software fuera de soporte (PHP 7.2 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Stack EOL 'PHP 7.3 (EOL)' presente en 3 entidades del Estado

Alta

Entidades con esta tech: alc-cucuta, gob-caldas, univ-unal

Por qué importa: Software fuera de soporte (PHP 7.3 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.

Software obsoletoA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

ICETEX opera en IIS 7.5 — version de 2009

Alta

El portal de ICETEX divulga Microsoft-IIS/7.5 en su header Server. IIS 7.5 fue lanzado en 2009 y ya no recibe soporte.

Por qué importa: Software de servidor web de 17 anos en el portal que gestiona creditos educativos de millones de colombianos.

Software obsoletoConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-03

SharePoint Server 2016 con fin de soporte extendido en 90 dias

Alta

Header MicrosoftSharePointTeamServices: 16.0.0.10417 (build de abril 2021). SharePoint 2016 fin de soporte extendido el 14 de julio de 2026. Sitemap fechado 2015-10-23 confirma mantenimiento detenido.

Por qué importa: En 90 dias el portal principal queda sin parches oficiales. La migracion a SharePoint Subscription Edition o SharePoint Online toma meses; el reloj corre.

Software obsoletoConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

BANCOLDEX rastrea ciudadanos con servicios de rastreo

Alta

El portal de Banco de Comercio Exterior de Colombia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos financieros de empresas y operaciones crediticias. Poblacion afectada: empresas colombianas exportadoras.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CNE rastrea ciudadanos con servicios de rastreo

Alta

La portada carga Google Tag Manager/Google Analytics con el identificador UA-177928500-1 antes de observar evidencia pasiva de consentimiento previo.

Por qué importa: Portales gubernamentales que cargan terceros de analitica sin consentimiento previo pueden exponer datos de navegacion de ciudadanos y tensionar obligaciones de proteccion de datos personales.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Consejo de Estado rastrea ciudadanos con servicios de rastreo

Alta

El portal principal carga Google Tag Manager/Analytics con UA-129288943-1 y G-JFNBNLVBLG; SAMAI carga Google Analytics G-Y8N7KQ3EBW.

Por qué importa: El rastreo de navegacion en portales judiciales puede involucrar consultas y contexto sensible. Debe existir base legal, minimizacion y consentimiento o informacion clara cuando aplique.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CGN rastrea navegacion con Google Analytics y Facebook Pixel

Alta

La portada de contaduria.gov.co carga Google Tag Manager/Analytics y Facebook Pixel; requiere validar consentimiento, base legal y relacion con terceros.

Por qué importa: El rastreo de navegacion en portales publicos puede transferir metadatos de ciudadanos a terceros y debe contar con base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Contraloria rastrea ciudadanos con servicios de rastreo

Alta

El portal de Contraloria General de la Republica carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La Contraloria audita el uso de recursos publicos. Datos de hallazgos fiscales y procesos de responsabilidad fiscal. Poblacion afectada: entidades publicas auditadas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Corte Suprema rastrea ciudadanos con servicios de rastreo

Alta

El portal de Corte Suprema de Justicia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Maximo tribunal de la jurisdiccion ordinaria. Investiga a congresistas y altos funcionarios. Datos procesales con proteccion especial. Poblacion afectada: partes procesales y aforados constitucionales.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

DANE rastrea ciudadanos con servicios de rastreo

Alta

La portada de DANE conserva terceros de analitica o rastreo observables en HTML/CSP, incluyendo clarity.ms, Facebook, AddToAny, GTranslate y Google CSE.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. El DANE recopila datos personales de toda la poblacion colombiana en censos. La reserva estadistica es obligacion constitucional. Poblacion afectada: 50 millones (censos).

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensoria rastrea navegacion con Google Analytics

Alta

La portada de Defensoria carga Google Tag Manager y Google Analytics; requiere validar consentimiento, base legal y relacion con terceros.

Por qué importa: El rastreo de navegacion en portales publicos puede transferir metadatos de ciudadanos a terceros y debe contar con base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoA07:2021Confianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DIAN rastrea ciudadanos con servicios de rastreo

Alta

El portal de Direccion de Impuestos y Aduanas Nacionales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La DIAN custodia datos financieros de millones de contribuyentes. Un compromiso permitiria fraude tributario a escala nacional. El phishing suplantando a la DIAN es el fraude mas comun en Colombia. Poblacion afectada: ~15 millones de contribuyentes activos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

DPS rastrea ciudadanos con servicios de rastreo

Alta

El portal de Departamento Administrativo para la Prosperidad Social carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de poblacion en extrema pobreza, victimas y adultos mayores vulnerables. Informacion altamente sensible. Poblacion afectada: ~5 millones de familias beneficiarias.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Ejercito carga Google Analytics/Tag Manager en la portada

Alta

La portada actual carga Google Tag Manager/Analytics mediante googletagmanager.com/gtag/js?id=G-GSFQN2N6ZE antes de observar una senal pasiva de consentimiento previo.

Por qué importa: La analitica de terceros en un portal militar debe contar con base legal, minimizacion y controles de consentimiento claros, porque puede exponer patrones de navegacion de ciudadanos, aspirantes, personal militar o familiares.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

ICBF rastrea ciudadanos con servicios de rastreo

Alta

La portada carga Google Tag Manager/Google Analytics con UA-9518610-1 y G-0HV1TJ61Q2 antes de observar evidencia pasiva de consentimiento previo.

Por qué importa: ICBF trata informacion sensible de menores y familias; cargar terceros de analitica sin consentimiento previo puede exponer datos de navegacion y tensionar obligaciones reforzadas de proteccion de datos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICETEX rastrea ciudadanos con servicios de rastreo

Alta

El portal de Instituto Colombiano de Credito Educativo y Estudios Tecnicos en el Exterior carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos financieros de familias colombianas que incluyen ingresos, patrimonio y scoring crediticio para otorgar creditos educativos. Poblacion afectada: ~400,000 beneficiarios activos de credito.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

INDUMIL rastrea ciudadanos con servicios de rastreo

Alta

El portal de Industria Militar carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. INDUMIL fabrica y comercializa armas y explosivos. Datos de clientes, inventarios de armamento y explosivos son informacion de seguridad nacional. Poblacion afectada: fuerzas armadas y compradores de armas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Medicina Legal rastrea ciudadanos con servicios de rastreo

Alta

La portada publica carga Google Tag Manager/gtag con UA-115620313-1 antes de un consentimiento observable en la evidencia pasiva; tambien incluye scripts externos de Google Translate y Twitter widgets.

Por qué importa: Portales gubernamentales que cargan terceros de analitica o widgets sin consentimiento previo pueden exponer datos de navegacion y contexto de ciudadanos. En servicios forenses, la minimizacion de terceros es especialmente relevante.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinJusticia rastrea ciudadanos con servicios de rastreo

Alta

El portal de Ministerio de Justicia y del Derecho carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Define politicas que afectan directamente la libertad de las personas y el sistema penal. Poblacion afectada: sistema de justicia colombiano.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinSalud rastrea ciudadanos con servicios de rastreo

Alta

El portal de MinSalud carga Google Tag Manager en la portada actual; requiere validar base legal, minimizacion y consentimiento para analitica de terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de salud tienen proteccion especial como datos sensibles bajo ley colombiana. Regula el sistema que cubre a toda la poblacion. Poblacion afectada: 50 millones de afiliados al sistema de salud.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Policia Nacional rastrea ciudadanos con servicios de rastreo

Alta

El portal de Policia Nacional de Colombia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La Policia maneja antecedentes judiciales de toda la poblacion, datos de denuncias y bases de inteligencia. Compromiso podria afectar investigaciones criminales activas. Poblacion afectada: 50 millones de colombianos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Procuraduria rastrea ciudadanos con servicios de rastreo

Alta

El portal de Procuraduria General de la Nacion carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La Procuraduria investiga disciplinariamente a todos los servidores publicos. Datos de investigaciones y sanciones disciplinarias. Poblacion afectada: todos los servidores publicos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Rama Judicial rastrea ciudadanos con Google Analytics

Alta

La portada carga Google Analytics/gtag con el identificador G-9VCXMH0BSP y analytics.js antes de observar una accion de consentimiento del usuario.

Por qué importa: La carga temprana de analitica de terceros puede exponer navegacion de ciudadanos y requiere base legal, minimizacion y consentimiento verificable cuando aplique.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Registraduria carga analitica externa sin consentimiento visible

Alta

La portada carga Google Tag Manager/gtag y Cloudflare Insights antes de observar un flujo de consentimiento en la respuesta inicial.

Por qué importa: En portales de identidad civil y procesos electorales, la analitica externa debe tener base legal, minimizacion y control claro de consentimiento cuando aplique. El riesgo principal es privacidad y trazabilidad de navegacion ciudadana, no exposicion directa de bases de datos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-04

SIC rastrea ciudadanos con servicios de rastreo

Alta

El portal de Superintendencia de Industria y Comercio carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La SIC es la autoridad de proteccion de datos personales en Colombia. Su propia seguridad es critica para la credibilidad del regimen de proteccion de datos. Poblacion afectada: consumidores y empresas colombianas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperFinanciera rastrea ciudadanos con servicios de analitica

Alta

La portada carga Google Tag Manager/Google Analytics con el identificador UA-42103800-1 antes de observar evidencia pasiva de consentimiento previo.

Por qué importa: Portales gubernamentales que cargan analitica de terceros antes de consentimiento verificable elevan riesgos de tratamiento de datos personales y transferencia a terceros.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperNotariado rastrea ciudadanos con servicios de rastreo

Alta

El portal de Superintendencia de Notariado y Registro carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Registros de propiedad inmobiliaria de todos los colombianos. Datos con implicaciones patrimoniales directas. Poblacion afectada: todos los propietarios de inmuebles.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperSociedades rastrea ciudadanos con servicios de rastreo

Alta

El portal de Superintendencia de Sociedades carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos financieros y juridicos de cientos de miles de empresas colombianas. Poblacion afectada: ~400,000 sociedades comerciales.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperSolidaria rastrea ciudadanos con servicios de rastreo

Alta

El portal de Superintendencia de la Economia Solidaria carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos financieros del sector cooperativo y solidario. Poblacion afectada: ~8 millones de asociados al sector solidario.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

SuperVigilancia carga analítica de terceros en la portada

Alta

La portada carga Google Tag Manager/Google Analytics con G-24GQBYQ27F y GTM-TLHRMNZP antes de observar evidencia pasiva de consentimiento previo.

Por qué importa: La analítica de terceros puede transferir metadatos de navegación de ciudadanos a proveedores externos. En portales de trámites y servicios públicos, el tratamiento debe estar respaldado por base legal, minimización y controles de consentimiento cuando apliquen.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

UIAF rastrea ciudadanos con servicios de rastreo

Alta

El portal de Unidad de Informacion y Analisis Financiero carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. La UIAF maneja los datos MAS sensibles del sistema financiero: reportes de operaciones sospechosas, investigaciones de lavado de activos y financiacion del terrorismo. Proteccion de nivel inteligencia de Estado. Poblacion afectada: sistema financiero y personas investigadas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.cisa.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA cisa.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.cisa.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @cisa.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.6.27 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.ciac.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @ciac.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.positiva.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @positiva.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.ipse.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.7.71.31 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.icfe.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA icfe.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.uspec.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA uspec.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: extranet.fonprecon.gov.co, intranet.fonprecon.gov.co, vpn.fonprecon.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA fonprecon.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.197.186 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA dermatologia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (3)

Alta

Hosts: extranet.cco.gov.co, intranet.cco.gov.co, vpn.cco.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.fng.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @fng.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Apex fogacoop.gov.co retorna HTTP 404

Alta

Servidor: Microsoft-HTTPAPI/2.0. Title: Not Found.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.previsora.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.cajahonor.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @cajahonor.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: intranet.agencialogistica.gov.co, vpn.agencialogistica.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA agencialogistica.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.agencialogistica.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @agencialogistica.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.200.32 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA iemp.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.85.5.131 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA restituciondetierras.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.jcc.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA jcc.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.200.226.136 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA orgsolidarias.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (2)

Alta

Hosts: vpn.serviciodeempleo.gov.co, extranet.serviciodeempleo.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA serviciodeempleo.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA alimentosparaaprender.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.10.185.188 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA finagro.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.fps.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @fps.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.fopep.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @fopep.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.226.254.121 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 13.107.213.40 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.xm.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA xm.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Hostname VPN enumerable en DNS publico

Alta

vpn.gensa.com.co resuelve en DNS publico mediante CNAME relacionado con VPN; no se confirma respuesta web del portal en la revision pasiva.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.vecol.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.vecol.com.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @vecol.com.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.4-72.com.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @4-72.com.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Apex 4-72.com.co retorna HTTP 503

Alta

Servidor: n/a. Title: Server Unavailable.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 54.243.173.5 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.esenttia.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @esenttia.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.45.232.96 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.etitc.edu.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: vpn.fdn.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA fdn.com.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Apex fiduprevisora.com.co retorna HTTP 503

Alta

Servidor: n/a. Title: -.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.colombiaproductiva.com publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @colombiaproductiva.com contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 54.230.144.31 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 100.31.231.169 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.fontur.com.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.fontur.com.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @fontur.com.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asambleanarino.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asambleanarino.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Apex asambleavalledelcauca.gov.co retorna HTTP 500

Alta

Servidor: LiteSpeed. Title: Error de la base de datos.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asambleachoco.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.150.36 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-cauca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-cundinamarca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-boyaca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-cordoba.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-magdalena.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asamblea-magdalena.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asamblea-magdalena.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-quindio.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asamblea-quindio.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asamblea-quindio.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-nortedesantander.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.asamblea-nortedesantander.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @asamblea-nortedesantander.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-laguajira.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asamblea-laguajira.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asamblea-laguajira.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-caqueta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.asamblea-caqueta.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @asamblea-caqueta.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-casanare.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asamblea-casanare.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asamblea-casanare.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-amazonas.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asamblea-amazonas.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asamblea-amazonas.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA asamblea-guainia.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.asamblearisaralda.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @asamblearisaralda.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.asambleadepartamentodearauca.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @asambleadepartamentodearauca.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.concejodemedellin.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodemedellin.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.concejodemedellin.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @concejodemedellin.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.26.13.8 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.concejodecali.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.concejodecali.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @concejodecali.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.186.225.204 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.concejodebarranquilla.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @concejodebarranquilla.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.concejodebucaramanga.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @concejodebucaramanga.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.concejopereira.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejopereira.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.157.158 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodeneiva.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.concejodeneiva.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @concejodeneiva.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodesantamarta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodevalledupar.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Apex concejodequibdo.gov.co retorna HTTP 403

Alta

Servidor: LiteSpeed. Title: 403 Forbidden.

Por qué importa: El dominio principal sin redireccion al www correcto degrada UX, SEO y abre superficie a typosquatting + dominio-en-transito.

Consistencia operativaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodearauca.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.12.167 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejodistritaldecartagena.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA concejopuertocarreno.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 172.67.215.231 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeriadesantamarta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA personeria-pasto.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloria-amazonas.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloria-amazonas.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriageneraldecaldas.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriageneraldecaldas.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriadelcaqueta.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloria-choco.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloria-choco.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloria-guainia.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloria-guainia.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriaguaviare.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo quarantine (no reject)

Alta

_dmarc.contraloriaguaviare.gov.co publica politica permisiva.

Por qué importa: Politica quarantine no rechaza correos no autenticados. Atacante puede suplantar @contraloriaguaviare.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 104.21.33.179 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloria-vaupes.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloria-vaupes.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriavichada.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriavichada.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

VPN/Intranet alcanzable en DNS publico (1)

Alta

Hosts: intranet.contraloriasai.gov.co.

Por qué importa: Aunque el servicio este restringido por IP, el FQDN publicado en DNS permite enumeracion trivial y ataques dirigidos al perimetro.

API expuestaConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contraloriands.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contraloriands.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriabga.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin registros CAA

Alta

dig CAA contraloriaibague.gov.co retorna vacio.

Por qué importa: Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.

Configuración SSLConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloriaibague.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloriaibague.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloriamonteria.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloriamonteria.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.81.104.66 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

DMARC en modo none (no reject)

Alta

_dmarc.contraloriavalledupar.gov.co publica politica permisiva.

Por qué importa: Politica none no rechaza correos no autenticados. Atacante puede suplantar @contraloriavalledupar.gov.co contra ciudadanos del territorio.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.contralorianeiva.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @contralorianeiva.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 52.224.16.120 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 20.88.170.7 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin DMARC publicado

Alta

_dmarc.coralina.gov.co no devuelve registro TXT.

Por qué importa: Sin DMARC, cualquier atacante puede suplantar correos @coralina.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Datos del portal hospedados fuera de Colombia

Alta

Apex resuelve a 35.241.6.138 (rango caracteristico de proveedor extranjero — Cloudflare/AWS/Azure US).

Por qué importa: Ley 1581/2012 art. 26 exige consentimiento o nivel de proteccion adecuado para transferencia internacional. EE.UU. no esta en la lista de paises adecuados de la SIC sin clausulas contractuales tipo.

Datos personalesConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

ARN carga jQuery 3.3.1 con CVEs conocidos

Alta

El portal de Agencia para la Reincorporacion y la Normalizacion carga jQuery 3.3.1 desde code.jquery.com, version asociada a CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Datos de identidad y ubicacion de excombatientes desmovilizados. Filtracion podria poner vidas en riesgo directo. Poblacion afectada: ~13,000 excombatientes en proceso de reincorporacion.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Consejo de Estado carga jQuery 3.2.1 vulnerable

Alta

El portal de Consejo de Estado carga jQuery 3.2.1 desde code.jquery.com, version asociada a CVE-2019-11358, CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Bibliotecas JavaScript vulnerables amplian la superficie de XSS y manipulacion de DOM. Aunque el recurso usa SRI, la version vulnerable sigue ejecutandose en navegadores de visitantes.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CGN carga jQuery 3.2.1 vulnerable en la portada

Alta

La portada carga https://code.jquery.com/jquery-3.2.1.slim.min.js; aunque declara SRI, la version esta afectada por CVE-2020-11022 y CVE-2020-11023. El bundle interno de Liferay carga jQuery 3.5.1.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ampliar el impacto de XSS y manipulacion de DOM en navegadores ciudadanos.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Banco de la Republica: Cookies sin atributos defensivos completos

Alta

Session-like cookies with weak attributes are still visible for 1 host(s): banrep.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

FINDETER: Cookies sin atributos defensivos completos

Alta

Session-like cookies with weak attributes are still visible for 1 host(s): findeter.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

SuperServicios: Dominio con riesgo de suplantacion por correo

Alta

El dominio superservicios.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

UIAF: Dominio con riesgo de suplantacion por correo

Alta

El dominio uiaf.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

MinEducacion: Dominio con riesgo de suplantacion por correo

Alta

El dominio mineducacion.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

DPS: Dominio con riesgo de suplantacion por correo

Alta

El dominio prosperidadsocial.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

PNN: Cookies sin atributos defensivos completos

Alta

Session-like cookies with weak attributes are still visible for 1 host(s): parquesnacionales.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

INVIMA: Cookies sin atributos defensivos completos

Alta

Session-like cookies with weak attributes are still visible for 1 host(s): invima.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

INVIMA: Dominio con riesgo de suplantacion por correo

Alta

El dominio invima.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

Auditoria General: Dominio con riesgo de suplantacion por correo

Alta

El dominio auditoria.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

IDEAM: JSON:API enumera usuarios del CMS

Alta

El endpoint publico /jsonapi/user/user enumera 50 objetos de usuario del CMS de IDEAM.

Por qué importa: La enumeracion publica de usuarios facilita perfilamiento, phishing dirigido y ataques de credenciales contra cuentas administrativas o editoriales de un portal de informacion ambiental y alertas.

Datos personalesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNE: riesgo de suplantacion por correo

Alta

El dominio cne.gov.co mantiene DMARC en modo p=none; aunque SPF termina en -all y DKIM existe, DMARC no aplica cuarentena ni rechazo.

Por qué importa: DMARC en modo monitoreo permite que mensajes que fallen autenticacion alineada no sean rechazados por politica del dominio, lo que facilita fraude o suplantacion de correo institucional.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNE: cadena TLS invalida en portal principal

Alta

El portal cne.gov.co presenta una cadena TLS no validable por clientes estandar, aunque el certificado hoja esta vigente hasta 2027-02-13.

Por qué importa: Errores TLS degradan confianza, rompen clientes estrictos y pueden normalizar que usuarios ignoren advertencias de seguridad.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperVigilancia: dominio con riesgo de suplantación por correo

Alta

supervigilancia.gov.co no publica DMARC y su SPF termina en ~all. La configuración no aplica una política de rechazo o cuarentena frente a mensajes que fallen autenticación alineada.

Por qué importa: DMARC ausente y SPF en softfail facilitan suplantación de correo institucional, phishing y fraude dirigido a ciudadanos, vigilantes, empresas de seguridad o funcionarios.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

MinCiencias: subportales WordPress con PHP fuera de soporte

Alta

Subportales oficiales enlazados por la portada de MinCiencias exponen WordPress/PHP con versiones PHP fuera de soporte en cabeceras HTTP: cendoc (PHP 7.3.31), especiales (PHP 7.4.28), inteligenciaartificial (PHP 7.3.33) y programaorquideas (PHP 8.1.29).

Por qué importa: Versiones PHP fuera de soporte no reciben parches upstream y elevan el riesgo de compromiso en subportales que integran contenidos, convocatorias o micrositios institucionales.

Software obsoletoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANM: DMARC en monitoreo permite suplantacion institucional

Alta

El dominio anm.gov.co publica DMARC con p=none; aunque SPF termina en -all y DKIM existe, DMARC no aplica cuarentena ni rechazo.

Por qué importa: DMARC sin politica de enforcement deja a ciudadanos y funcionarios mas expuestos a correos suplantados que aparentan venir de la entidad.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

datos.gov.co: dominio sin SPF ni DMARC

Alta

El dominio datos.gov.co no publica registros SPF ni DMARC; tampoco se observan MX. La ausencia de DMARC permite que terceros usen el dominio como From sin una politica de rechazo alineada.

Por qué importa: Sin SPF/DMARC, receptores externos no tienen una politica publicada para rechazar mensajes que aparenten salir de datos.gov.co, lo que facilita suplantacion institucional aunque el dominio no reciba correo.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: cookie de sesión sin atributos defensivos

Alta

El portal cra.gov.co emite cookiesession1 sin Secure, HttpOnly ni SameSite; también se observa en HTTP sin redirección obligatoria a HTTPS.

Por qué importa: Una cookie sin Secure puede viajar por HTTP; sin HttpOnly queda expuesta a JavaScript si hay XSS; sin SameSite aumenta superficie ante envíos cross-site.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: DMARC en monitoreo permite suplantación de correo

Alta

cra.gov.co publica SPF con -all y DKIM, pero DMARC sigue en p=none al 2026-06-27; los receptores no reciben una política de rechazo o cuarentena alineada.

Por qué importa: DMARC en modo monitoreo permite que correos que aparentan venir del dominio institucional no sean rechazados por política del dominio, elevando riesgo de phishing y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: DMARC en monitoreo permite suplantación de correo

Alta

defensacivil.gov.co publica SPF con softfail (~all) y DMARC con p=none al 2026-06-27; los receptores no reciben una politica de rechazo o cuarentena para correos no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: cookie de sesión sin HttpOnly ni SameSite

Alta

La portada de defensacivil.gov.co emite una cookie de sesion con Secure, pero sin HttpOnly ni SameSite.

Por qué importa: Cookies de sesion sin HttpOnly ni SameSite elevan el impacto de XSS y facilitan envio cross-site no deseado.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: jQuery 3.1.1 vulnerable en la portada

Alta

La portada carga jQuery 3.1.1 desde Google CDN sin SRI, version afectada por CVEs conocidos.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ampliar el impacto de XSS y manipulacion de DOM.

Dependencias vulnerablesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: CORS refleja Origin externo con credenciales

Alta

Un OPTIONS pasivo a https://www.ani.gov.co/ con Origin: https://evil.example responde Access-Control-Allow-Origin: https://evil.example y Access-Control-Allow-Credentials: true, junto con metodos POST, GET y OPTION.

Por qué importa: CORS con credenciales y origen reflejado puede permitir que sitios externos lean respuestas autenticadas si existen cookies o sesiones aplicativas compatibles. Debe restringirse a origenes explicitamente autorizados.

CORS permisivoA05:2021 — Security MisconfigurationConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CGN: cookies sin SameSite explicito

Alta

La portada emite JSESSIONID y COOKIE_SUPPORT con Secure y HttpOnly, pero sin atributo SameSite explicito.

Por qué importa: SameSite reduce abuso cross-site y CSRF; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

AUNAP: Dominio con riesgo de suplantacion por correo

Alta

aunap.gov.co mantiene SPF con softfail (~all) y no publica DMARC, por lo que no fuerza rechazo ni cuarentena de correo no alineado.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinDeporte: Dominio con riesgo de suplantacion por correo

Alta

mindeporte.gov.co publica DMARC p=none; la politica no fuerza cuarentena ni rechazo de mensajes no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: jQuery 3.4.1 vulnerable en la portada

Alta

La portada de AUNAP carga jQuery 3.4.1 desde CDN, version asociada a CVEs conocidos.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ampliar el impacto de XSS y manipulacion de DOM en el navegador ciudadano.

Dependencias vulnerablesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DANE: cookie de sesion sin Secure ni SameSite

Alta

El portal de DANE emite una cookie de sesion con atributos defensivos incompletos: no declara Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinVivienda: JSON:API enumera usuarios del CMS

Alta

El endpoint publico /jsonapi/user/user enumera 50 objetos de usuario del CMS de MinVivienda, con nombres visibles en la respuesta.

Por qué importa: La enumeracion publica de usuarios facilita perfilamiento, phishing dirigido y ataques de credenciales contra cuentas institucionales.

Datos personalesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICFES: Dominio con riesgo de suplantacion por correo

Alta

icfes.gov.co mantiene SPF hardfail, pero DMARC publica p=none y no se detecta DKIM en selectores comunes; la politica no fuerza cuarentena ni rechazo.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinEnergia: cookie de sesion sin Secure ni SameSite

Alta

La portada de MinEnergia emite una cookie persistente con atributos defensivos incompletos: no declara Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICA: cookies sin SameSite explicito

Alta

La portada de ICA emite cookies del CMS sin declarar SameSite de forma explicita.

Por qué importa: SameSite reduce abuso cross-site y CSRF; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

INDUMIL: cookie de sesion sin Secure ni SameSite

Alta

La portada de INDUMIL emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Procuraduria: cookie de sesion sin Secure ni SameSite

Alta

La portada de Procuraduria emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

APC-Colombia: Dominio con riesgo de suplantacion por correo

Alta

El dominio apccolombia.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

CSB: Dominio con riesgo de suplantacion por correo

Alta

El dominio carcsb.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Congreso: Dominio con riesgo de suplantacion por correo

Alta

El dominio congreso.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

ENTerritorio: Dominio con riesgo de suplantacion por correo

Alta

El dominio enterritorio.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

Gob. Bolivar: Dominio con riesgo de suplantacion por correo

Alta

El dominio bolivar.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

gov.co: Dominio con riesgo de suplantacion por correo

Alta

El dominio gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

INVIAS: Dominio con riesgo de suplantacion por correo

Alta

El dominio invias.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

JEP: Dominio con riesgo de suplantacion por correo

Alta

El dominio jep.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

MinIgualdad: Dominio con riesgo de suplantacion por correo

Alta

El dominio minigualdadyequidad.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

Senado: Dominio con riesgo de suplantacion por correo

Alta

El dominio secretariasenado.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

UPME: Dominio con riesgo de suplantacion por correo

Alta

El dominio upme.gov.co mantiene una configuracion SPF/DMARC que no aplica una politica de rechazo efectiva frente a mensajes no autenticados o no alineados.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

Coljuegos: Dominio con riesgo de suplantacion por correo

Alta

El dominio coljuegos.gov.co mantiene DMARC en p=none y SPF en softfail (~all), por lo que la suplantacion de correo institucional sigue sin una politica de rechazo efectiva.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

Corte Constitucional: cookie persistente sin Secure ni SameSite

Alta

corteconstitucional.gov.co emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNP: cookie de sesion sin Secure ni SameSite

Alta

La portada de UNP emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite.

Por qué importa: Secure evita envio por canales no cifrados y SameSite reduce abuso cross-site; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Alc. Apartado: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): apartado-antioquia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Armenia: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): intranet.armenia.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Bogota D.C.: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): bogota.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Bucaramanga: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 2 host(s): bucaramanga.gov.co, www.bucaramanga.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Cucuta: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): cucuta.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Cucuta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cucuta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Ibague: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): turismo.ibague.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Ibague: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ibague.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Inirida: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): inirida-guainia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Itagui: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.itagui.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Jamundí: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): jamundi.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Monteria: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): monteria.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Neiva: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): alcaldianeiva.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Palmira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): palmira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Pasto: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): pasto.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pereira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): pereira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Quibdo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): quibdo-choco.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Rionegro: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 2 host(s): autodiscover.rionegro.gov.co, ftp.rionegro.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alc. Sabaneta: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 3 host(s): cultura.sabaneta.gov.co, qa.sabaneta.gov.co, www.sabaneta.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. S. Jose Guaviare: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sanjosedelguaviare-guaviare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Santa Marta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): santamarta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Sincelejo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): alcaldiadesincelejo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Soacha: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): soacha-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Turbo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): turbo-antioquia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Villavicencio: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 1 host(s): api.villavicencio.gov.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Yumbo: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): sgd.yumbo.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ANE: cookie sin Secure ni SameSite

Alta

ANE emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite, durante la navegacion inicial del portal.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANH: cookie sin Secure ni SameSite

Alta

ANH emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite, durante la navegacion inicial del portal.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANM: JSON:API enumera usuarios del CMS

Alta

El endpoint publico /jsonapi/user/user enumera 50 objetos de usuario del CMS de ANM.

Por qué importa: La enumeracion publica de usuarios facilita perfilamiento, phishing dirigido y ataques de credenciales contra cuentas institucionales.

Datos personalesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ansv: cookies sin atributos defensivos completos

Alta

ansv.gov.co emite cookiesession1 con HttpOnly, pero sin Secure ni SameSite; no se almacena ni publica el valor.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ansv: enumeracion publica de usuarios

Alta

ANSV expone publicamente la coleccion JSON:API de usuarios con conteo y campos de perfil visibles; no se publican valores personales.

Por qué importa: La enumeracion publica de usuarios o autores puede exponer metadatos personales y facilitar ataques dirigidos.

Datos personalesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANT: TLS no conecta en puerto publico

Alta

HTTPS/TLS still fails for 1 host(s): agenciadetierras.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Auditoria General: Certificado TLS invalido en portal principal

Alta

El portal principal presenta un certificado TLS no validable por clientes estandar y una cobertura SAN limitada al wildcard del subdominio.

Por qué importa: Errores TLS degradan confianza, rompen clientes estrictos y pueden normalizar que usuarios ignoren advertencias de seguridad.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Auditoria General: Cookies sin atributos defensivos completos

Alta

El portal emite cookies sin atributos defensivos completos, incluyendo cookies sin SameSite y cookiesession1 sin Secure.

Por qué importa: Cookies sin SameSite y Secure reducen defensas contra envio cross-site y exposicion en degradaciones de transporte o configuraciones intermedias.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Caja Honor: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 2 host(s): autodiscover.cajahonor.gov.co, mail.cajahonor.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Corpoboyaca: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): playablanca.corpoboyaca.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CDA: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): cda.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CDA: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cda.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CDMB: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cdmb.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CODECHOCÓ: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): autodiscover.codechoco.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Cormagdalena: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cormagdalena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Cornare: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cornare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpochivor: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 2 domain(s): corpochivor.gov.co, negociosverdescorpochivor.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CORPOMOJANA: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): corpomojana.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corponarino: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): corponarino.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpouraba: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): corpouraba.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CRQ: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): crq.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CAR Cundinamarca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): car.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CVC: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): actosadministrativos.cvc.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EPA Cartagena: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): epacartagena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

SDA Bogota: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): ambientebogota.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

SDA Bogota: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ambientebogota.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CASUR: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): casur.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Combarranquilla: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): preprod.combarranquilla.com.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Combarranquilla: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): combarranquilla.com.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfacauca: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 2 host(s): intranet.comfacauca.com, portal.comfacauca.com.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfenalco Valle: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): comfenalcovalle.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CCO: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cco.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CNMH: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): centrodememoriahistorica.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CNSC: cadena TLS incompleta en portal principal

Alta

El portal principal presenta una cadena TLS no validable por clientes estandar.

Por qué importa: Errores TLS degradan confianza, rompen clientes estrictos y pueden normalizar que usuarios ignoren advertencias de seguridad.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Coljuegos: Cookie de sesion sin Secure ni SameSite

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en coljuegos.gov.co: nexuraSID se emite sin Secure ni SameSite.

Por qué importa: Una cookie de sesion sin Secure ni SameSite reduce las defensas del navegador contra exposicion en transporte y abuso cross-site.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Cookies sin atributos defensivos completos

Alta

Colpensiones emite una cookie publica sin SameSite explicito en el portal principal.

Por qué importa: Declarar SameSite reduce abuso cross-site y evita depender de defaults variables por navegador.

Cookie inseguraConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Dependencias JavaScript vulnerables

Alta

Colpensiones sirve dependencias JavaScript antiguas en el portal publico.

Por qué importa: Dependencias cliente vulnerables pueden habilitar ataques de inyeccion o manipulacion si la aplicacion usa patrones afectados.

Dependencias vulnerablesConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Concejo Barranquilla: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): ftp.concejodebarranquilla.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

Concejo Pereira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejopereira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Concejo Quibdo: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): autodiscover.concejodequibdo.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

Congreso: TLS no conecta en puerto publico

Alta

HTTPS/TLS still fails for 1 host(s): congreso.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Contraloria: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.contraloria.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRC: cookie sin Secure ni SameSite

Alta

CRC emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite, en el portal principal.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CREG: Cookies sin atributos defensivos completos

Alta

CREG emite cookies con atributos defensivos incompletos en respuestas publicas del portal.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Atlántico: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriadelatlantico.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Contraloría Cali: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 3 host(s): autodiscover.contraloriacali.gov.co, mail.contraloriacali.gov.co, presupuesto.contraloriacali.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Contraloría Cesar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriacesar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Contraloría Córdoba: Servidor con version obsoleta expuesta

Alta

Contraloria Cordoba expone stack obsoleto en el host de correo publico.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Contraloría Valle: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 4 host(s): admin.contraloriavalledelcauca.gov.co, ftp.contraloriavalledelcauca.gov.co, intranet.contraloriavalledelcauca.gov.co, old.contraloriavalledelcauca.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Defensoria: cookies sin SameSite explicito

Alta

Defensoria emite cookies del portal sin declarar SameSite de forma explicita.

Por qué importa: SameSite reduce abuso cross-site y CSRF; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNDA: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): derechodeautor.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Dist. Turbo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): turbo-antioquia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alcaldia Cartagena: Dependencias JavaScript vulnerables

Alta

La portada publica carga una version de jQuery afectada por CVE conocidas; la verificacion se limita a recursos publicos.

Por qué importa: Dependencias cliente vulnerables pueden habilitar ataques de inyeccion o manipulacion si la aplicacion usa patrones afectados.

Dependencias vulnerablesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

EAAB Acueducto: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): acueducto.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EMCALI: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.emcali.com.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

MIO Cali: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 2 host(s): mio.com.co, www.mio.com.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Transcaribe: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): transcaribe.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ENTerritorio: Cookies sin atributos defensivos completos

Alta

ENTerritorio emite cookies con atributos defensivos incompletos en el portal publico.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Famisanar EPS: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): famisanar.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESAP: Cookies sin atributos defensivos completos

Alta

ESAP emite cookies con atributos defensivos incompletos en la portada publica.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

ESE Federico Lleras: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hflleras.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE H. Mental Antioquia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): homo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Santa Sofía: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): santasofia.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE H.U. Hernando Moncaleano: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hospitalneiva.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE IMSALUD: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): mail.imsalud.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE ISABU: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): isabu.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Subred Centro Oriente: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): subredcentrooriente.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Subred Norte: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.subrednorte.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE Subred Norte: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): subrednorte.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Fiducoldex: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 3 host(s): apps.fiducoldex.com.co, autodiscover.fiducoldex.com.co, mail.fiducoldex.com.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

Fiduprevisora: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): git.fiduprevisora.com.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

FNA: Cookies sin atributos defensivos completos

Alta

FNA emite cookies con atributos defensivos incompletos en el portal publico.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Gob. Casanare: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): api.casanare.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Casanare: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): casanare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cauca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cauca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cesar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cesar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Choco: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): choco.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Cordoba: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cordoba.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Huila: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): huila.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Magdalena: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): datos.magdalena.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Magdalena: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): magdalena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Narino: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): narino.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. N. Santander: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): nortedesantander.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Putumayo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): putumayo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Quindio: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): quindio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. S. Andres: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sanandres.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Santander: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): santander.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Hospital Militar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hospitalmilitar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Humboldt: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): humboldt.org.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ICA: Dominio con riesgo de suplantacion por correo

Alta

ICA no publica DMARC valido en el subdominio estandar requerido para aplicar politica de correo.

Por qué importa: SPF/DMARC debil o mal ubicado permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

IIAP: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): soporte.iiap.org.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

IIAP: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): iiap.org.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INCI: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): inci.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ITRC: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 2 host(s): autodiscover.itrc.gov.co, tramites.itrc.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

JEP: cookies sin atributos defensivos completos

Alta

JEP mantiene cookies visibles con atributos defensivos incompletos en el apex y en el portal www.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Medicina Legal: cadena TLS invalida en portal principal

Alta

El portal principal presenta una cadena TLS no validable por clientes estandar.

Por qué importa: Errores TLS degradan confianza, rompen clientes estrictos y pueden normalizar que usuarios ignoren advertencias de seguridad.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Medicina Legal: cookies sin atributos defensivos completos

Alta

El portal emite cookies de sesion y soporte sin atributos defensivos completos.

Por qué importa: Cookies aplicativas sin Secure o SameSite aumentan el riesgo de exposicion por transporte inseguro o abuso en contextos cross-site, especialmente en portales que tratan informacion forense sensible.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinAgricultura: cookie sin atributos defensivos completos

Alta

La portada de MinAgricultura emite una cookie persistente sin Secure, HttpOnly ni SameSite.

Por qué importa: Cookies sin atributos defensivos completos pueden viajar por canales no esperados, ser leídas por JavaScript o participar en flujos cross-site según el navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

min-cultura: cookies sin atributos defensivos completos

Alta

MinCultura emite una cookie persistente con Secure y HttpOnly, pero sin SameSite explicito.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinDefensa: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.mindefensa.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinHacienda: Cookies sin atributos defensivos completos

Alta

El portal canonico emite cookies con atributos defensivos incompletos; no se publican nombres ni valores de cookies.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinInterior: cookie sin atributos defensivos completos

Alta

La portada de MinInterior emite una cookie persistente sin atributos Secure, HttpOnly ni SameSite.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTIC: Cookies sin atributos defensivos completos

Alta

El host canonico HTTPS emite una cookie con atributos defensivos incompletos; no se publican nombres ni valores de cookies.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTrabajo: Cookies sin atributos defensivos completos

Alta

MinTrabajo emite cookies con atributos defensivos incompletos en el portal publico.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Personería Bucaramanga: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 2 host(s): dev.personeriabucaramanga.gov.co, www.personeriabucaramanga.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Bucaramanga: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriabucaramanga.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cali: Cadena TLS invalida

Alta

HTTPS/TLS still fails for 1 host(s): ftp.personeriacali.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Personería Cali: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.personeriacali.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Personería Cali: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriacali.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Personería Cartagena: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): webmail.personeriacartagena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cartagena: Cadena TLS invalida

Alta

HTTPS/TLS still fails for 1 host(s): webmail.personeriacartagena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cartagena: TLS no conecta en puerto publico

Alta

HTTPS/TLS still fails for 1 host(s): autodiscover.personeriacartagena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cartagena: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): autodiscover.personeriacartagena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cartagena: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 2 host(s): personeriacartagena.gov.co, www.personeriacartagena.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Medellín: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriamedellin.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Positiva: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 1 host(s): autodiscover.positiva.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Rama Judicial: JSONWS de Liferay expuesto publicamente

Alta

La interfaz JSONWS de Liferay esta disponible publicamente y expone metadatos amplios de servicios del portal.

Por qué importa: Una API de plataforma visible amplía la superficie de enumeracion y facilita reconocimiento de servicios, modelos y metodos del CMS antes de ataques dirigidos.

API expuestaConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Rama Judicial: cookies sin SameSite explicito

Alta

Cookies del portal se emiten con atributos parciales: tienen Secure y HttpOnly, pero no declaran SameSite.

Por qué importa: SameSite reduce abuso cross-site y CSRF en navegadores modernos; declarar la politica esperada evita depender de defaults variables por navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

sae: cadena TLS no validable

Alta

SAE presenta cadena TLS no validable por clientes estandar en el portal principal.

Por qué importa: TLS/HTTPS roto o no validable reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

sae: cookies sin atributos defensivos completos

Alta

La raiz HTTPS emite cookies con atributos defensivos incompletos; al menos una no incluye Secure/SameSite. No se almacenan valores.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Sanatorio Agua de Dios: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sanatorioaguadedios.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UAESPE: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): serviciodeempleo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

4-72: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 2 host(s): intranet.4-72.com.co, sig.4-72.com.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperNotariado: Cookie de sesion sin atributos defensivos completos

Alta

SuperNotariado emite una cookie de sesion con atributos defensivos incompletos en el subdominio publico de servicios.

Por qué importa: Secure, HttpOnly y SameSite reducen exposicion de cookies de sesion ante transporte degradado, scripts del navegador y solicitudes cruzadas.

Cookie inseguraConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

SuperSociedades: Cookies sin atributos defensivos completos

Alta

Session-like cookies with weak attributes are still visible for 1 host(s): supersociedades.gov.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

SuperSolidaria: cadena TLS invalida en portal principal

Alta

El portal principal presenta una cadena TLS incompleta: clientes con validacion estandar no pueden verificar el certificado sin ignorar errores.

Por qué importa: Una cadena TLS incompleta degrada confianza del dominio, rompe clientes estrictos y puede empujar usuarios a ignorar advertencias de seguridad.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSubsidio: Cookies sin atributos defensivos completos

Alta

El portal publico emite cookies con atributos defensivos incompletos; no se publican nombres ni valores de cookies.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UARIV: cookie sin Secure ni SameSite

Alta

UARIV emite una cookie persistente con HttpOnly, pero sin Secure ni SameSite.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UBPD: TLS no conecta en puerto publico

Alta

HTTPS/TLS still fails for 1 host(s): ubpdbusquedadesaparecidos.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

UIAF: JSON:API enumera usuarios del CMS

Alta

El endpoint publico /jsonapi/user/user enumera 50 objetos de usuario del CMS de UIAF.

Por qué importa: La enumeracion publica de usuarios facilita perfilamiento, phishing dirigido y ataques de credenciales contra una entidad de alta sensibilidad financiera.

Datos personalesConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNGRD: Cookies sin atributos defensivos completos

Alta

UNGRD emite cookies con atributos defensivos incompletos en el portal publico.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de abuso de sesion o degradan controles del navegador.

Cookie inseguraConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Areandina: Servidor con version obsoleta expuesta

Alta

Areandina expone componentes de stack antiguos en un host publico.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

ECCI: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ecci.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ITM: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): itm.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Konrad Lorenz: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.konradlorenz.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Konrad Lorenz: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): konradlorenz.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. La Salle: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 1 host(s): contacto.lasalle.edu.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

I.U. Pascual Bravo: Servidor con version obsoleta expuesta

Alta

Pascual Bravo expone un servidor Apache 2.2 en un host publico.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

U. Cundinamarca: Servidor con version obsoleta expuesta

Alta

U. Cundinamarca expone PHP/stack antiguo en el portal publico.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Externado: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 3 host(s): autodiscover.uexternado.edu.co, contacto.uexternado.edu.co, docs.uexternado.edu.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

UFPSO: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 1 host(s): planeacion.ufpso.edu.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

UIS: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uis.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Militar: Servidor con version obsoleta expuesta

Alta

EOL server banner is still visible for 1 host(s): tramites.umng.edu.co.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

UNAB: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): login.unab.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UNAB: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): unab.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UNAD: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 2 host(s): datos.unad.edu.co, intranet.unad.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Nacional: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): login.unal.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Nacional: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): unal.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UNIAJC: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): apps.uniajc.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UNIAJC: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uniajc.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Córdoba: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): unicordoba.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Llanos: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): bi.unillanos.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Magdalena: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): www.unimagdalena.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Univalle: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): univalle.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

EAN: Portal sin HTTPS funcional

Alta

HTTPS/TLS still fails for 4 host(s): api.universidadean.edu.co, autodiscover.universidadean.edu.co, facturacion.universidadean.edu.co, sso.universidadean.edu.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

U. Tolima: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ut.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UTB: Cookies sin atributos defensivos completos

Alta

Cookies de sesion con atributos defensivos incompletos siguen visibles en 1 host(s): documentos.utb.edu.co.

Por qué importa: Cookies sin atributos defensivos completos aumentan riesgo de robo o abuso de sesion en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UTP: Servidor con version obsoleta expuesta

Alta

UTP expone PHP/OpenSSL antiguos en el host PQRS publico.

Por qué importa: Banners de software fuera de soporte indican superficie con parches pendientes o tecnologia heredada.

Software obsoletoConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Vicepresidencia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): vicepresidencia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

XM: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): xm.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

GENSA: Cadena TLS invalida

Alta

HTTPS/TLS still fails for 3 host(s): admin.gensa.com.co, ftp.gensa.com.co, vpn.gensa.com.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

GENSA: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 2 host(s): admin.gensa.com.co, ftp.gensa.com.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Ciénaga: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 2 host(s): ftp.cienaga-magdalena.gov.co, webmail.cienaga-magdalena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Amazonas: cadena TLS no confiable

Alta

Verificacion pasiva del 2026-07-03 no pudo validar el certificado TLS en asamblea-amazonas.gov.co ni www.asamblea-amazonas.gov.co por cadena no confiable.

Por qué importa: Una cadena TLS no confiable puede impedir que ciudadanos verifiquen la autenticidad del portal y facilita errores de confianza en conexiones HTTPS.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Asamblea Atlantico: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 4 host(s): admin.asamblea-atlantico.gov.co, autodiscover.asamblea-atlantico.gov.co, mail.asamblea-atlantico.gov.co, webmail.asamblea-atlantico.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Bolivar: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.asambleadebolivar.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Pasto: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.concejodepasto.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Popayan: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 3 host(s): ftp.concejodepopayan.gov.co, mail.concejodepopayan.gov.co, webmail.concejodepopayan.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Cartagena: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.contraloriadecartagena.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Pereira: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.contraloriapereira.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Quindio: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.contraloriaquindio.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Tolima: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.contraloriatolima.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asmet Salud: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 3 host(s): contributivo.asmetsalud.com, portalcohortes.asmetsalud.com, pruebas-portalcohortes.asmetsalud.com.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Cajacopi EPS: certificado TLS expirado en www

Alta

Verificacion pasiva del 2026-07-03 detecto certificado TLS expirado en www.cajacopieps.com; el dominio raiz cajacopieps.com reseteo la conexion TLS durante la prueba.

Por qué importa: Un certificado expirado rompe la confianza HTTPS y puede bloquear o degradar el acceso ciudadano al portal.

Configuración SSLConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Mutual Ser: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 5 host(s): abierto.mutualser.org, abiertos.mutualser.org, acceso.mutualser.org, mail.mutualser.org, webmail.mutualser.org.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Sociedad Tequendama: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 2 host(s): ftp.sociedadtequendama.com, webmail.sociedadtequendama.com.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Montería: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): ftp.personeriamonteria.gov.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Central: Cadena TLS invalida

Alta

HTTPS/TLS still fails for 1 host(s): pagos.ucentral.edu.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Surcolombiana: Certificado TLS invalido en activo publico

Alta

HTTPS/TLS still fails for 1 host(s): portal.usco.edu.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Virgilio Barco: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): agenciavirgiliobarco.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Aguachica: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): aguachica-cesar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Buga: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): guadalajaradebuga-valle.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Calarcá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): calarca-quindio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Cartago: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cartago-valle.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Caucasia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): caucasia-antioquia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Chía: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): chia-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Ciénaga: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cienaga-magdalena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Facatativá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): facatativa-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Florencia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): florencia-caqueta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Funza: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): funza-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Fusagasugá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): fusagasuga.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Leticia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): leticia-amazonas.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Lorica: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): santacruzdelorica-cordoba.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Madrid: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): madrid-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Magangue: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): magangue-bolivar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Maicao: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): maicao-laguajira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Cereté: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): cerete-cordoba.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Mosquera: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): mosquera-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Soledad: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): soledad-atlantico.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Tuluá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): tulua.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Tunja: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): tunja-boyaca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Valledupar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): valledupar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Yopal: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): yopal-casanare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Zipaquirá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): zipaquira-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

AMBQ: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ambq.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

AM Bucaramanga: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): amb.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

AM Cucuta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): amc.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Artesanías de Colombia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): artesaniasdecolombia.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Antioquia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleadeantioquia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Atlantico: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-atlantico.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Bolivar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleadebolivar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Boyaca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-boyaca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Caldas: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleadecaldas.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Cauca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-cauca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Cordoba: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-cordoba.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Cundinamarca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-cundinamarca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Guainia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-guainia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Guaviare: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-guaviare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Huila: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-huila.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Meta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-meta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Putumayo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleadelputumayo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Santander: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleadesantander.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Sucre: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleasucre.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Tolima: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleatolima.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Valle Del Cauca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asambleavalledelcauca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Vichada: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): asamblea-vichada.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

CARDER: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): carder.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Corpocesar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): corpocesar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Corponor: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): corponor.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Comfenalco Antioquia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): comfenalcoantioquia.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

CDFLLA: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): dermatologia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Arauca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodearauca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Armenia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejo-armenia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo de Bogotá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodebogota.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Cartagena De Indias: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodistritaldecartagena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Ibague: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodeibague.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Manizales: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodemanizales.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Monteria: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodemonteria.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Puerto Carreno: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejopuertocarreno.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Quibdo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodequibdo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Santa Marta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodesantamarta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Sincelejo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejosincelejo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Valledupar: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodevalledupar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Villavicencio: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): concejodevillavicencio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Barranquilla: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriabarranquilla.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Caqueta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriadelcaqueta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Cartagena: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriadecartagena.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Cauca: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloria-cauca.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Cucuta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloria-cucuta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Guajira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriaguajira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Manizales: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriamanizales.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Narino: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloria-narino.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Pereira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriapereira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Putumayo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriaputumayo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Quindio: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriaquindio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Risaralda: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriarisaralda.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Sucre: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriasucre.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Tolima: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriatolima.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Villavicencio: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): contraloriavillavicencio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Dist. Tumaco: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): tumaco-narino.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Megabus: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): megabus.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

EPS Sura: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): epssura.com.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE CARI: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): esecari.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE Orinoquía Yopal: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hospitalyopal.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE San Jerónimo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): esesanjeronimo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE Manuela Beltrán: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hospitalmanuelabeltran.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

ESE Rosario Pumarejo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): hospitalrosariopumarejo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE Subred Sur Occidente: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): subredsuroccidente.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

FENOGE: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): fenoge.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

FODESEP: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): fodesep.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Gob. Amazonas: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): amazonas.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Caqueta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): caqueta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Guainia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): guainia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Guaviare: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): guaviare.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Sucre: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sucre.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Vaupes: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): vaupes.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Vichada: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): vichada.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Sociedad Tequendama: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sociedadtequendama.com.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

IEMP: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): iemp.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

iNNpulsa: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): innpulsacolombia.com.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

INVEMAR: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): invemar.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ITRC: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): itrc.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

JCC: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): jcc.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

UAEOS: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): orgsolidarias.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Barranquilla: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriadebarranquilla.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Florencia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriaflorencia.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Manizales: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriademanizales.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Neiva: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personerianeiva.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Pasto: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeria-pasto.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Pereira: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriapereira.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Popayán: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriapopayan.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Puerto Carreño: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriapuertocarreno.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Riohacha: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriariohacha.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Santa Marta: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriadesantamarta.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Sincelejo: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriasincelejo.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Tunja: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriadetunja.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Villavicencio: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): personeriavillavicencio.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Sanatorio Contratacion: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): sanatoriocontratacion.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

UApA: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): alimentosparaaprender.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Los Libertadores: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): ulibertadores.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Politécnico JIC: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): politecnicojic.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Antonio Nariño: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uan.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Amazonia: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): udla.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Mariana: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): umariana.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Manuela Beltrán: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): umb.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Boyacá: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uniboyaca.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Cartagena: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): unicartagena.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Uniminuto: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uniminuto.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Pacífico: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): unipacifico.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

UPB: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): upb.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Surcolombiana: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): usco.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Tadeo Lozano: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): utadeo.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

UTCh: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): utch.edu.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

URRÁ: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): urra.com.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

USPEC: Dominio con riesgo de suplantacion por correo

Alta

Email spoofing risk is still visible for 1 domain(s): uspec.gov.co.

Por qué importa: SPF/DMARC debil permite suplantacion de correo institucional y fraude dirigido.

Email suplantableConfianza: highObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Cookie de sesion sin Secure y SameSite en carder.gov.co

Alta

Chequeo pasivo 2026-07-05 observo __wpdm_client, _wpjshd_session_, jsst_ticket_search_data sin Secure y SameSite en carder.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en intranet.carder.gov.co

Alta

Chequeo pasivo 2026-07-05 observo PHPSESSID, wpfront-notification-bar-landingpage sin Secure y SameSite en intranet.carder.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.carder.gov.co

Alta

Chequeo pasivo 2026-07-05 observo __wpdm_client, _wpjshd_session_, jsst_ticket_search_data sin Secure y SameSite en www.carder.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure en ide.corpocesar.gov.co

Alta

Chequeo pasivo 2026-07-05 observo csrftoken, sessionid sin Secure en ide.corpocesar.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en cndj.gov.co

Alta

Chequeo pasivo 2026-07-05 observo COOKIE_SUPPORT, GUEST_LANGUAGE_ID, JSESSIONID sin Secure y SameSite en cndj.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.cndj.gov.co

Alta

Chequeo pasivo 2026-07-05 observo COOKIE_SUPPORT, GUEST_LANGUAGE_ID, JSESSIONID sin Secure y SameSite en www.cndj.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin SameSite en mail.concejocucuta.gov.co

Alta

Chequeo pasivo 2026-07-05 observo ZM_LOGIN_CSRF, ZM_TEST sin SameSite en mail.concejocucuta.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin SameSite efectivo aumenta la exposicion a flujos de solicitud cruzada en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en pqrs.concejodepopayan.gov.co

Alta

Chequeo pasivo 2026-07-05 observo PHPSESSID sin Secure y SameSite en pqrs.concejodepopayan.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.concejodepopayan.gov.co

Alta

Chequeo pasivo 2026-07-05 observo PHPSESSID sin Secure y SameSite en www.concejodepopayan.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en app.contraloriadecartagena.gov.co

Alta

Chequeo pasivo 2026-07-05 observo PHPSESSID sin Secure y SameSite en app.contraloriadecartagena.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.asmetsalud.com

Alta

Chequeo pasivo 2026-07-05 observo PHPSESSID sin Secure y SameSite en www.asmetsalud.com. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en datos.uexternado.edu.co

Alta

Chequeo pasivo 2026-07-05 observo JSESSIONID sin Secure y SameSite en datos.uexternado.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en m.uninorte.edu.co

Alta

Chequeo pasivo 2026-07-05 observo COOKIE_SUPPORT, GUEST_LANGUAGE_ID, JSESSIONID sin Secure y SameSite en m.uninorte.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.uninorte.edu.co

Alta

Chequeo pasivo 2026-07-05 observo COOKIE_SUPPORT, GUEST_LANGUAGE_ID, JSESSIONID sin Secure y SameSite en www.uninorte.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en api.unipacifico.edu.co

Alta

Chequeo pasivo 2026-07-05 observo ASPSESSIONIDQCQDBSQT, ASPSESSIONIDQGQDBSQT sin Secure y SameSite en api.unipacifico.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure en www.unipacifico.edu.co

Alta

Chequeo pasivo 2026-07-05 observo XSRF-TOKEN, universidaddelpacifico_session sin Secure en www.unipacifico.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookie de sesion sin Secure y SameSite en www.usco.edu.co

Alta

Chequeo pasivo 2026-07-05 observo JSESSIONID, TS01b9bbd5, TS01e5638e sin Secure y SameSite en www.usco.edu.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Cookies sin atributos defensivos completos en ideam.gov.co

Alta

La verificacion pasiva actual observo Set-Cookie en ideam.gov.co con atributos incompletos: missingSecure=1, missingSameSite=1.

Por qué importa: Cookies sin Secure o SameSite aumentan la exposicion a transporte inseguro o abuso cross-site, segun el flujo de autenticacion de la aplicacion.

Cookie inseguraConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Cookies sin atributos defensivos completos en minciencias.gov.co

Alta

La verificacion pasiva actual observo Set-Cookie en minciencias.gov.co con atributos incompletos: missingSecure=1, missingSameSite=1.

Por qué importa: Cookies sin Secure o SameSite aumentan la exposicion a transporte inseguro o abuso cross-site, segun el flujo de autenticacion de la aplicacion.

Cookie inseguraConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Cookies sin atributos defensivos completos en sena.edu.co

Alta

La verificacion pasiva actual observo Set-Cookie en sena.edu.co con atributos incompletos: missingSecure=1, missingSameSite=1.

Por qué importa: Cookies sin Secure o SameSite aumentan la exposicion a transporte inseguro o abuso cross-site, segun el flujo de autenticacion de la aplicacion.

Cookie inseguraConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Cookies sin atributos defensivos completos en www.superfinanciera.gov.co

Alta

La verificacion pasiva actual observo Set-Cookie en www.superfinanciera.gov.co con atributos incompletos: missingSecure=1, missingSameSite=1.

Por qué importa: Cookies sin Secure o SameSite aumentan la exposicion a transporte inseguro o abuso cross-site, segun el flujo de autenticacion de la aplicacion.

Cookie inseguraConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Ausencia de registros CAA — cualquier CA puede emitir certificados

Media

dig CAA supersalud.gov.co retorna vacio. Combinado con CT logs publicos que solo muestran el apex (sub-reporte), la entidad pierde monitoreo de emisiones no autorizadas.

Por qué importa: Un atacante con acceso a cualquier CA publica puede emitir certificados validos a nombre del dominio sin que la entidad lo detecte automaticamente.

Configuración SSLConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-28

Certificado wildcard cubre 1 dominios en corteconstitucional.gov.co

Media

Wildcards en SAN: *.corteconstitucional.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Defensoria: certificado wildcard para subdominios

Media

El certificado TLS vigente para defensoria.gov.co incluye SAN defensoria.gov.co y *.defensoria.gov.co; la verificacion pasiva actual lo observa valido en www.defensoria.gov.co.

Por qué importa: Un certificado wildcard aumenta el impacto operativo de una llave privada comprometida y requiere inventario estricto de subdominios cubiertos.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Certificado wildcard cubre 1 dominios en funcionpublica.gov.co

Media

Wildcards en SAN: *.funcionpublica.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en registraduria.gov.co

Media

Wildcards en SAN: *.registraduria.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en cortesuprema.gov.co

Media

Wildcards en SAN: *.cortesuprema.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en mineducacion.gov.co

Media

Wildcards en SAN: *.mineducacion.gov.co. Total SAN: 1.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en sic.gov.co

Media

Wildcards en SAN: *.sic.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en relatoria.colombiacompra.gov.co

Media

Wildcards en SAN: *.colombiacompra.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en mintic.gov.co

Media

Wildcards en SAN: *.mintic.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en minvivienda.gov.co

Media

Wildcards en SAN: *.minvivienda.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en mintransporte.gov.co

Media

Wildcards en SAN: *.mintransporte.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en minjusticia.gov.co

Media

Wildcards en SAN: *.minjusticia.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en dnp.gov.co

Media

Wildcards en SAN: *.dnp.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

MinCiencias: certificado wildcard vigente en dominio principal

Media

El certificado TLS vigente para minciencias.gov.co incluye SAN wildcard *.minciencias.gov.co y el dominio apex minciencias.gov.co; la cadena valida correctamente y vence el 2026-11-05.

Por qué importa: Los certificados wildcard amplian el radio de impacto si una llave o subdominio queda comprometido. No se trata de una falla TLS activa, sino de una decision de confianza que debe inventariarse y controlarse.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en minigualdadyequidad.gov.co

Media

Wildcards en SAN: *.minigualdadyequidad.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en supersolidaria.gov.co

Media

Wildcards en SAN: *.supersolidaria.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en supertransporte.gov.co

Media

Wildcards en SAN: *.supertransporte.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en ssf.gov.co

Media

Wildcards en SAN: *.ssf.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en ugpp.gov.co

Media

Wildcards en SAN: *.ugpp.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en aerocivil.gov.co

Media

Wildcards en SAN: *.aerocivil.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en upme.gov.co

Media

Wildcards en SAN: *.upme.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en parquesnacionales.gov.co

Media

Wildcards en SAN: *.parquesnacionales.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en unidadvictimas.gov.co

Media

Wildcards en SAN: *.unidadvictimas.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en upra.gov.co

Media

Wildcards en SAN: *.upra.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en anh.gov.co

Media

Wildcards en SAN: *.anh.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en gestiondelriesgo.gov.co

Media

Wildcards en SAN: *.gestiondelriesgo.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en ane.gov.co

Media

Wildcards en SAN: *.ane.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

ANI: certificado wildcard para subdominios

Media

El certificado TLS vigente para ani.gov.co, emitido por Google Trust Services WE1 y valido hasta 2026-09-24, incluye SAN ani.gov.co y *.ani.gov.co.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Certificado wildcard cubre 1 dominios en sena.edu.co

Media

Wildcards en SAN: *.sena.edu.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en aunap.gov.co

Media

Certificado vigente con SAN wildcard *.aunap.gov.co; vence el 2026-10-11.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Certificado wildcard cubre 1 dominios en inpec.gov.co

Media

Wildcards en SAN: *.inpec.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en invima.gov.co

Media

Wildcards en SAN: *.invima.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en ideam.gov.co

Media

Wildcards en SAN: *.ideam.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en igac.gov.co

Media

Wildcards en SAN: *.igac.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en esap.edu.co

Media

El certificado vigente de esap.edu.co incluye SAN *.esap.edu.co y esap.edu.co, con cadena válida hasta 2027-01-20.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en archivogeneral.gov.co

Media

Wildcards en SAN: *.archivogeneral.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en medicinalegal.gov.co

Media

Wildcards en SAN: *.medicinalegal.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en agrosavia.co

Media

Wildcards en SAN: *.agrosavia.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

FOGAFIN: certificado wildcard para subdominios

Media

El certificado TLS vigente para fogafin.gov.co incluye SAN fogafin.gov.co y *.fogafin.gov.co; vence el 2026-08-17.

Por qué importa: Un certificado wildcard aumenta el impacto operativo de una llave privada comprometida y requiere inventario estricto de subdominios cubiertos.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: certificado wildcard para subdominios

Media

El certificado TLS vigente para defensacivil.gov.co, emitido por Google Trust Services WE1 y valido hasta 2026-09-08, incluye SAN defensacivil.gov.co y *.defensacivil.gov.co.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Certificado wildcard cubre 1 dominios en icanh.gov.co

Media

Wildcards en SAN: *.icanh.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en coljuegos.gov.co

Media

Wildcards en SAN: *.coljuegos.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en bancoldex.com

Media

Wildcards en SAN: *.bancoldex.com. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en saesas.gov.co

Media

Wildcards en SAN: *.saesas.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en findeter.gov.co

Media

Wildcards en SAN: *.findeter.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en satena.com

Media

Wildcards en SAN: *.satena.com. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en enterritorio.gov.co

Media

Wildcards en SAN: *.enterritorio.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en camara.gov.co

Media

Wildcards en SAN: *.camara.gov.co. Total SAN: 1.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en jep.gov.co

Media

Wildcards en SAN: *.jep.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en auditoria.gov.co

Media

Wildcards en SAN: *.auditoria.gov.co. Total SAN: 1.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en procolombia.co

Media

Wildcards en SAN: *.procolombia.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en cne.gov.co

Media

Wildcards en SAN: *.cne.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en cnsc.gov.co

Media

Wildcards en SAN: *.cnsc.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en minenergia.gov.co

Media

Wildcards en SAN: *.minenergia.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en presidencia.gov.co

Media

Wildcards en SAN: *.presidencia.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en mincit.gov.co

Media

Wildcards en SAN: *.mincit.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en uiaf.gov.co

Media

Wildcards en SAN: *.uiaf.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en cartagena.gov.co

Media

Wildcards en SAN: *.cartagena.gov.co. Total SAN: 3.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en supersalud.gov.co

Media

Wildcards en SAN: *.SUPERSALUD.GOV.CO. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en bolivar.gov.co

Media

Wildcards en SAN: *.bolivar.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-04-27

Publicado

2026-04-27

Activo

2026-04-30

CGN: certificado wildcard para subdominios

Media

El certificado TLS vigente para contaduria.gov.co, emitido por GlobalSign RSA OV SSL CA 2018 y valido hasta 2026-10-05, incluye SAN contaduria.gov.co y *.contaduria.gov.co.

Por qué importa: Un certificado wildcard aumenta el impacto operativo de una llave privada comprometida y requiere inventario estricto de subdominios cubiertos.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en cortesuprema.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en defensoria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de defensoria.gov.co totalmente fuera de Colombia

Media

NS records: ns1-04.azure-dns.com, ns3-04.azure-dns.org, ns4-04.azure-dns.info, ns2-04.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en superfinanciera.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de superfinanciera.gov.co totalmente fuera de Colombia

Media

NS records: ns4-32.azure-dns.info, ns1-32.azure-dns.com, ns3-32.azure-dns.org, ns2-32.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en contraloria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en procuraduria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en fiscalia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en registraduria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en sic.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de sic.gov.co totalmente fuera de Colombia

Media

NS records: ns3-33.azure-dns.org, ns2-33.azure-dns.net, ns1-33.azure-dns.com, ns4-33.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en corteconstitucional.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en funcionpublica.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en dian.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en secretariasenado.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en secretariasenado.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minhacienda.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de minhacienda.gov.co totalmente fuera de Colombia

Media

NS records: ns4-08.azure-dns.info, ns3-08.azure-dns.org, ns2-08.azure-dns.net, ns1-08.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en mineducacion.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en mintrabajo.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en relatoria.colombiacompra.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ramajudicial.gov.co

Media

Consulta DS para ramajudicial.gov.co no devuelve registro en la zona padre al 2026-06-27.

Por qué importa: Sin DNSSEC, la resolucion del dominio no cuenta con validacion criptografica desde la zona padre.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en minambiente.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de minambiente.gov.co totalmente fuera de Colombia

Media

NS records: carl.ns.cloudflare.com, wanda.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en cancilleria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de cancilleria.gov.co totalmente fuera de Colombia

Media

NS records: nash.ns.cloudflare.com, nora.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en mininterior.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en datos.gov.co (selectores comunes)

Media

No se detecta DKIM en selectores comunes para datos.gov.co al 2026-06-27.

Por qué importa: DKIM permite firmar correo institucional; si el dominio envia correo, su ausencia reduce la capacidad de validar origen y alineacion con politicas DMARC.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de datos.gov.co totalmente fuera de Colombia

Media

Los nameservers de datos.gov.co siguen delegados en Cloudflare: dan.ns.cloudflare.com y violet.ns.cloudflare.com.

Por qué importa: La dependencia de DNS externo no es una vulnerabilidad por si sola, pero concentra disponibilidad y control operativo en un proveedor fuera de infraestructura estatal local.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en mindefensa.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en mintransporte.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de mintransporte.gov.co totalmente fuera de Colombia

Media

NS records: ns2-01.azure-dns.net, ns1-01.azure-dns.com, ns3-01.azure-dns.org, ns4-01.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en superservicios.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minagricultura.gov.co

Media

La consulta DS para minagricultura.gov.co no devuelve registros al 2026-06-27; el dominio sigue sin validacion DNSSEC desde la zona padre.

Por qué importa: DNSSEC reduce riesgo de manipulacion de respuestas DNS entre resolutores validantes y la zona autoritativa.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en mincultura.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de mincultura.gov.co totalmente fuera de Colombia

Media

NS records: keanu.ns.cloudflare.com, emely.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minciencias.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de minciencias.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-e2.googledomains.com, ns-cloud-e4.googledomains.com, ns-cloud-e3.googledomains.com, ns-cloud-e1.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en minigualdadyequidad.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de minigualdadyequidad.gov.co totalmente fuera de Colombia

Media

NS records: ns2-02.azure-dns.net, ns3-02.azure-dns.org, ns1-02.azure-dns.com, ns4-02.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de dnp.gov.co totalmente fuera de Colombia

Media

NS records: ns1-01.azure-dns.com, ns3-01.azure-dns.org, ns2-01.azure-dns.net, ns4-01.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en dane.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de prosperidadsocial.gov.co totalmente fuera de Colombia

Media

NS records: ns3-04.azure-dns.org, ns1-04.azure-dns.com, ns2-04.azure-dns.net, ns4-04.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minjusticia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minvivienda.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en supersolidaria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de supersolidaria.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-b1.googledomains.com, ns-cloud-b2.googledomains.com, ns-cloud-b4.googledomains.com, ns-cloud-b3.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ssf.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en supervigilancia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de supervigilancia.gov.co totalmente fuera de Colombia

Media

NS records: ns1-06.azure-dns.com, ns4-06.azure-dns.info, ns3-06.azure-dns.org, ns2-06.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en migracioncolombia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en supertransporte.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de mintic.gov.co totalmente fuera de Colombia

Media

NS records: dan.ns.cloudflare.com, violet.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en supernotariado.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

DNSSEC ausente en ugpp.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de ugpp.gov.co totalmente fuera de Colombia

Media

NS records: fattouche.ns.cloudflare.com, robin.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en minsalud.gov.co (selectores comunes)

Media

SPF y DMARC aplican politicas restrictivas, pero la verificacion del 2026-06-27 no detecta DKIM en selectores comunes para minsalud.gov.co.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de minsalud.gov.co totalmente fuera de Colombia

Media

NS records: ns2-36.azure-dns.net, ns4-36.azure-dns.info, ns3-36.azure-dns.org, ns1-36.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en unidadvictimas.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de unidadvictimas.gov.co totalmente fuera de Colombia

Media

NS records: ns4-06.azure-dns.info, ns1-06.azure-dns.com, ns3-06.azure-dns.org, ns2-06.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en contaduria.gov.co

Media

La consulta DS para contaduria.gov.co no devuelve registros al 2026-06-27; el dominio sigue sin validacion DNSSEC desde la zona padre.

Por qué importa: DNSSEC reduce riesgo de manipulacion de respuestas DNS entre resolutores validantes y la zona autoritativa.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en gestiondelriesgo.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en upme.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de upme.gov.co totalmente fuera de Colombia

Media

NS records: kanye.ns.cloudflare.com, nancy.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en parquesnacionales.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de parquesnacionales.gov.co totalmente fuera de Colombia

Media

NS records: etta.ns.cloudflare.com, igor.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en upra.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de upra.gov.co totalmente fuera de Colombia

Media

NS records: ns1-34.azure-dns.com, ns2-34.azure-dns.net, ns4-34.azure-dns.info, ns3-34.azure-dns.org

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de crcom.gov.co totalmente fuera de Colombia

Media

NS records: ns4-08.azure-dns.info, ns3-08.azure-dns.org, ns1-08.azure-dns.com, ns2-08.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en cra.gov.co

Media

La consulta DS para cra.gov.co no devuelve registros DNSSEC en la zona padre al 2026-06-27.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en adr.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en aerocivil.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en creg.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ane.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de ane.gov.co totalmente fuera de Colombia

Media

NS records: ns1-06.azure-dns.com, ns3-06.azure-dns.org, ns2-06.azure-dns.net, ns4-06.azure-dns.info

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en anm.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en defensajuridica.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en anh.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de anh.gov.co totalmente fuera de Colombia

Media

NS records: ns1-07.azure-dns.com, ns4-07.azure-dns.info, ns2-07.azure-dns.net, ns3-07.azure-dns.org

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en apccolombia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en apccolombia.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en aunap.gov.co

Media

No se observa DS/DNSSEC para aunap.gov.co en la verificacion del 2026-06-27.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en sena.edu.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en anla.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en reincorporacion.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en icetex.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en icfes.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de icfes.gov.co totalmente fuera de Colombia

Media

NS records: ns-1276.awsdns-31.org, ns-956.awsdns-55.net, ns-1835.awsdns-37.co.uk, ns-156.awsdns-19.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en invima.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de invima.gov.co totalmente fuera de Colombia

Media

NS records: ns3-01.azure-dns.org, ns2-01.azure-dns.net, ns4-01.azure-dns.info, ns1-01.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en inpec.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ica.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en esap.edu.co

Media

Consulta DS para esap.edu.co no devuelve registro en la zona padre al 2026-06-27.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en fogafin.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de fogafin.gov.co totalmente fuera de Colombia

Media

NS records: ns3-06.azure-dns.org, ns4-06.azure-dns.info, ns1-06.azure-dns.com, ns2-06.azure-dns.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en icanh.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de icanh.gov.co totalmente fuera de Colombia

Media

NS records: ns-1395.awsdns-46.org, ns-1944.awsdns-51.co.uk, ns-882.awsdns-46.net, ns-220.awsdns-27.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en archivogeneral.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en fna.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ideam.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en colpensiones.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en sgc.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de sgc.gov.co totalmente fuera de Colombia

Media

NS records: ns-61.awsdns-07.com, ns-1489.awsdns-58.org, ns-1705.awsdns-21.co.uk, ns-772.awsdns-32.net

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ecopetrol.com.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en igac.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en rtvc.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de rtvc.gov.co totalmente fuera de Colombia

Media

NS records: ns-839.awsdns-40.net, ns-191.awsdns-23.com, ns-1951.awsdns-51.co.uk, ns-1113.awsdns-11.org

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en coljuegos.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en enterritorio.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en satena.com

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en defensacivil.gov.co

Media

La consulta DS para defensacivil.gov.co sigue vacia al 2026-06-27; el dominio no publica delegacion DNSSEC en la zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en saesas.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en agrosavia.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ani.gov.co

Media

La consulta DS para ani.gov.co sigue vacia al 2026-06-27; el dominio no publica delegacion DNSSEC en la zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en procolombia.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de procolombia.co totalmente fuera de Colombia

Media

NS records: dale.ns.cloudflare.com, melina.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en findeter.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en bancoagrario.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en ejercito.mil.co

Media

La consulta DS para ejercito.mil.co no devuelve registros en la zona padre al 2026-06-27.

Por qué importa: Sin DNSSEC, la integridad de resolucion DNS depende por completo del canal de resolucion y de los proveedores intermedios; conviene evaluar firma de zona para dominios institucionales sensibles.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de ejercito.mil.co delegado completamente en Cloudflare

Media

La delegacion NS actual de ejercito.mil.co usa tom.ns.cloudflare.com y tegan.ns.cloudflare.com; no se observaron nameservers bajo infraestructura colombiana propia.

Por qué importa: La dependencia completa de DNS externo concentra disponibilidad, telemetria de resolucion y control operativo en un tercero; debe estar cubierta por gestion contractual, monitoreo y evaluacion de transferencia internacional de datos cuando aplique.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en bancoldex.com

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de bancoldex.com totalmente fuera de Colombia

Media

NS records: lucy.ns.cloudflare.com, steven.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en indumil.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en camara.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de camara.gov.co totalmente fuera de Colombia

Media

NS records: ns4-06.azure-dns.info, ns3-06.azure-dns.org, ns2-06.azure-dns.net, ns1-06.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en policia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en jep.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en armada.mil.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en imprenta.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en imprenta.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en fac.mil.co

Media

La consulta DS para fac.mil.co no devuelve registros en la zona padre al 2026-06-27.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNSSEC ausente en cne.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en cnsc.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de cnsc.gov.co totalmente fuera de Colombia

Media

NS records: ns3-06.azure-dns.org, ns2-06.azure-dns.net, ns4-06.azure-dns.info, ns1-06.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en presidencia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en minenergia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de minenergia.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-a1.googledomains.com, ns-cloud-a3.googledomains.com, ns-cloud-a4.googledomains.com, ns-cloud-a2.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en mincit.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en uiaf.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en supersalud.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de supersalud.gov.co totalmente fuera de Colombia

Media

NS records: ns2-37.azure-dns.net, ns3-37.azure-dns.org, ns4-37.azure-dns.info, ns1-37.azure-dns.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en unp.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DKIM no detectado en unp.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en cartagena.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de cartagena.gov.co totalmente fuera de Colombia

Media

NS records: asa.ns.cloudflare.com, hugh.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en medicinalegal.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de medicinalegal.gov.co totalmente fuera de Colombia

Media

NS records: ns-696.awsdns-23.net, ns-1495.awsdns-58.org, ns-1713.awsdns-22.co.uk, ns-77.awsdns-09.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en bolivar.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-04-27

Publicado

2026-04-27

Activo

2026-04-30

DNS de bolivar.gov.co totalmente fuera de Colombia

Media

NS records: braden.ns.cloudflare.com, laila.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-04-27

Publicado

2026-04-27

Activo

2026-04-30

DNSSEC ausente en auditoria.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNSSEC ausente en banrep.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

DNS de banrep.gov.co totalmente fuera de Colombia

Media

NS records: ns2-08.azure-dns.net, ns4-08.azure-dns.info, ns1-08.azure-dns.com, ns3-08.azure-dns.org

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Ejercito: certificado wildcard vigente en dominio principal

Media

El certificado TLS vigente para ejercito.mil.co y www.ejercito.mil.co incluye SAN ejercito.mil.co y *.ejercito.mil.co; la cadena valida correctamente y vence el 2026-08-06.

Por qué importa: Los certificados wildcard amplian el radio de impacto si una llave privada o un subdominio queda comprometido. No es una falla TLS activa, sino una decision de confianza que debe inventariarse y controlarse.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNP rastrea ciudadanos con servicios de rastreo

Media

El portal de Departamento Nacional de Planeacion carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Informacion estrategica de planeacion nacional con implicaciones presupuestales. Poblacion afectada: todo el sector publico.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

ANE rastrea ciudadanos con servicios de rastreo

Media

El portal de Agencia Nacional del Espectro carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de asignacion de espectro con valor comercial significativo. Poblacion afectada: operadores de telecomunicaciones.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Cookies sin SameSite en webmail.corpoguavio.gov.co

Media

webmail.corpoguavio.gov.co emite cookies con Secure, pero sin atributo SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Patron tipo password/api_key/secret detectado en HTML de ibague.gov.co

Media

Inspeccion automatica del HTML detecta patrones que parecen credenciales hardcoded. Requiere validacion manual.

Por qué importa: Si confirma, expone secretos via inspeccion del DOM. Buena practica: no entregar credenciales al cliente; usar tokens cortos firmados por backend.

Secretos expuestosA02:2021 — Cryptographic FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Cookie de webmail delegado sin SameSite

Media

mail.contraloriacasanare.gov.co redirige a un webmail delegado que emite cookie con Secure y HttpOnly, pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

MinCIT rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Comercio, Industria y Turismo carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos comerciales y de propiedad industrial con valor competitivo. Poblacion afectada: sector empresarial colombiano.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex fenoge.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.concejodebogota.gov.co, concejodebogota.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejodebogota.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-05-02

Certificado wildcard cubre 1 dominios en barrancabermeja.gov.co

Media

Wildcards en SAN: *.barrancabermeja.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en barrancabermeja.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en buenaventura.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en turbo-antioquia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en hgm.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en hospitalsanrafaeltunja.gov.co

Media

Wildcards en SAN: *.hospitalsanrafaeltunja.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en hospitalsanrafaeltunja.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en hus.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en huv.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en metrosalud.gov.co

Media

Wildcards en SAN: *.metrosalud.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en metrosalud.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en fomag.gov.co

Media

Wildcards en SAN: *.fomag.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en fomag.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en fondoadaptacion.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en arauca.gov.co

Media

Wildcards en SAN: *.arauca.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en arauca.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en atlantico.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en cundinamarca.gov.co

Media

Wildcards en SAN: *.cundinamarca.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en cundinamarca.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en meta.gov.co

Media

Wildcards en SAN: *.meta.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en meta.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en risaralda.gov.co

Media

Wildcards en SAN: *.risaralda.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en risaralda.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en valledelcauca.gov.co

Media

Wildcards en SAN: *.valledelcauca.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en sinchi.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en udistrital.edu.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en upn.edu.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

22 portales no funcionan en su dominio raiz

Media

22 portales observados no responden correctamente en el dominio raiz. ICA, INDUMIL y Procuraduria no resuelven en apex al 2026-06-27, aunque sus variantes www si responden; esto afecta a ciudadanos que escriben el dominio sin prefijo.

Por qué importa: Problema basico de configuracion DNS solucionable en minutos que afecta la accesibilidad de los servicios del Estado.

Consistencia operativaConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-03

cluster.cartagena.gov.co en estado de mantenimiento prolongado

Media

cluster.cartagena.gov.co retorna 503 con titulo "Sitio desconectado en mantenimiento" sin fecha de retorno.

Por qué importa: Aplicacion huerfana en estado intermedio --- consume superficie expuesta y certificado emitido sin proposito operativo claro.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

volta.cartagena.gov.co activo sin contenido real (404)

Media

volta.cartagena.gov.co resuelve y responde 404 desde Cloudflare. Subdominio activo sin proposito visible.

Por qué importa: Candidato a decomisionamiento. Cualquier subdominio con certificado y sin contenido es deuda de superficie.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

VPN principal alcanzable solo por nombre, no por HTTPS

Media

vpn.cartagena.gov.co (190.71.138.129, IP nacional) tiene FQDN publico pero HTTPS hace timeout --- exposicion simbolica al inventario.

Por qué importa: El nombre del recurso esta publicado en DNS aunque el servicio este restringido por IP. Bruteforce de subdominios lo encuentra trivialmente.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

CORS mal configurado en Agencia Nacional de Seguridad Vial

Media

El portal de Agencia Nacional de Seguridad Vial acepta solicitudes CORS desde cualquier origen, permitiendo exfiltracion de datos desde navegadores de terceros.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Datos de seguridad vial y accidentalidad. Poblacion afectada: conductores y usuarios viales.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CORS mal configurado en Instituto Colombiano para la Evaluacion de la Educacion

Media

www.icfes.gov.co responde Access-Control-Allow-Origin: * y Access-Control-Allow-Credentials: true para solicitudes GET/OPTIONS con Origin externo.

Por qué importa: CORS permisivo permite a sitios maliciosos realizar peticiones autenticadas a nombre del usuario. Resultados academicos individualizados de millones de estudiantes con implicaciones en admision universitaria y becas. Poblacion afectada: ~600,000 estudiantes que presentan Saber 11 anualmente.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCiencias mantiene CORS wildcard en el portal principal

Media

El portal responde Access-Control-Allow-Origin: * ante un Origin externo. No se observó Access-Control-Allow-Credentials, por lo que no se afirma exfiltración autenticada; la política sigue siendo amplia y debe restringirse si endpoints no públicos comparten la misma configuración.

Por qué importa: CORS wildcard reduce aislamiento entre orígenes y puede volverse riesgoso si se reutiliza en rutas con datos no públicos, tokens o respuestas personalizadas.

CORS permisivoA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

DNS de envigado.gov.co totalmente fuera de Colombia

Media

NS records: ns-902.awsdns-48.net, ns-1901.awsdns-45.co.uk, ns-1351.awsdns-40.org, ns-201.awsdns-25.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en floridablanca.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de floridablanca.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-c4.googledomains.com, ns-cloud-c3.googledomains.com, ns-cloud-c1.googledomains.com, ns-cloud-c2.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de sanandres.gov.co totalmente fuera de Colombia

Media

NS records: rosa.ns.cloudflare.com, lars.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en amco.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de amco.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-a1.googledomains.com, ns-cloud-a3.googledomains.com, ns-cloud-a2.googledomains.com, ns-cloud-a4.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en corantioquia.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en cormacarena.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de cortolima.gov.co totalmente fuera de Colombia

Media

NS records: liv.ns.cloudflare.com, ned.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en barrancabermeja.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en turbo-antioquia.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en mio.com.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en hospitalsanrafaeltunja.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de hospitalsanrafaeltunja.gov.co totalmente fuera de Colombia

Media

NS records: june.ns.cloudflare.com, elijah.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en huv.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en fomag.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de fondoadaptacion.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-b3.googledomains.com, ns-cloud-b1.googledomains.com, ns-cloud-b4.googledomains.com, ns-cloud-b2.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de arauca.gov.co totalmente fuera de Colombia

Media

NS records: paris.ns.cloudflare.com, mike.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de cundinamarca.gov.co totalmente fuera de Colombia

Media

NS records: alec.ns.cloudflare.com, mallory.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de meta.gov.co totalmente fuera de Colombia

Media

NS records: chuck.ns.cloudflare.com, lucy.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de risaralda.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-a1.googledomains.com, ns-cloud-a4.googledomains.com, ns-cloud-a3.googledomains.com, ns-cloud-a2.googledomains.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNS de valledelcauca.gov.co totalmente fuera de Colombia

Media

NS records: mimi.ns.cloudflare.com, bill.ns.cloudflare.com

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DKIM no detectado en sinchi.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Por qué importa: Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

Datos personalesA07:2021 — Identification and Authentication FailuresConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela path /Lists/HV/ (probable Hojas de Vida)

Media

www.supersalud.gov.co/robots.txt tiene Disallow: /Lists/HV/ y /es-co/Lists/HV/. En SharePoint, HV tipicamente es Hojas de Vida. El path existe; robots.txt no es control de acceso.

Por qué importa: Si la lista no tiene permisos restrictivos, hay PII de funcionarios accesible directamente por URL. Senalizacion en robots.txt es indicador clasico Streisand: "no me indexen, pero existe".

Datos personalesConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Coljuegos carga jQuery 3.4.1 con CVEs conocidos

Media

El portal coljuegos.gov.co carga jQuery 3.4.1 desde /media/plugins/jquery/3.4.1/jquery.min.js; esa version esta por debajo de 3.5.0 y queda dentro del rango afectado por CVE-2020-11022 y CVE-2020-11023.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Datos de operadores de juegos de azar y apuestas. Poblacion afectada: operadores de juegos y apostadores.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CREG carga jQuery 3.1.0 y Bootstrap 3.3.7 vulnerables

Media

El portal de CREG carga jQuery 3.1.0 y Bootstrap 3.3.7 desde rutas locales. Estas versiones estan asociadas a CVE-2020-11022, CVE-2020-11023 y CVE-2018-14040/41/42.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Regulador energetico con datos de tarifas y contratos. Poblacion afectada: sector energetico y consumidores.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

MinEnergia carga jQuery 2.1.3 y Bootstrap 3.3.5 vulnerables

Media

La portada de MinEnergia carga jQuery 2.1.3 y Bootstrap 3.3.5 desde CDNs externos; son versiones antiguas asociadas a CVEs conocidos. Verificado pasivamente el 2026-06-27.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Informacion estrategica sobre recursos energeticos y contratos de explotacion. Poblacion afectada: sector energetico y minero.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

MinTransporte carga jQuery 3.1.0 y Bootstrap 3.3.7 con CVEs conocidos

Media

El portal mintransporte.gov.co carga jQuery 3.1.0 y Bootstrap 3.3.7 desde rutas locales. jQuery 3.1.0 queda dentro de rangos afectados por CVE-2019-11358, CVE-2020-11022 y CVE-2020-11023; Bootstrap 3.3.7 queda dentro de CVE-2018-14040, CVE-2018-14041 y CVE-2018-14042.

Por qué importa: Bibliotecas JavaScript vulnerables pueden ser explotadas para ataques XSS y robo de sesiones. Informacion de infraestructura critica de transporte. Poblacion afectada: usuarios del sistema de transporte.

Dependencias vulnerablesA06:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

robots.txt revela 1 ruta(s) sensibles en aerocivil.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.apartado-antioquia.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en armenia.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.armenia.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en datos.bello.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en intranet.bucaramanga.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.cali.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en pasto.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en tramites.pasto.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.pasto.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en pereira.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.pereira.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en tramites.popayan.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en sanjosedelguaviare-guaviare.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.sanjosedelguaviare-guaviare.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en santamarta.gov.co

Media

Disallow/Allow incluye: /admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.santamarta.gov.co

Media

Disallow/Allow incluye: /admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en amco.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.amco.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en banrep.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en corpoboyaca.gov.co

Media

Disallow/Allow incluye: /cms/wp-admin/, /cms/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.corpoboyaca.gov.co

Media

Disallow/Allow incluye: /cms/wp-admin/, /cms/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en carsucre.gov.co

Media

Disallow/Allow incluye: /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en mail.carsucre.gov.co

Media

Disallow/Allow incluye: /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en qa.cormacarena.gov.co

Media

Disallow/Allow incluye: /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en cea.corpoamazonia.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en ide.corpocesar.gov.co

Media

Disallow/Allow incluye: /api/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en corpomojana.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en mail.corpomojana.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.corpomojana.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en intranet.corpouraba.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en crq.gov.co

Media

Disallow/Allow incluye: /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.crq.gov.co

Media

Disallow/Allow incluye: /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en cvc.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en www.cvc.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en mail.cvs.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en oab.ambientebogota.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.casur.gov.co

Media

Disallow/Allow incluye: /wp-admin/, /wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en relatoria.colombiacompra.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en cnsc.gov.co

Media

Disallow/Allow incluye: /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en cortesuprema.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Defensa Civil: robots.txt enumera rutas administrativas y de CMS

Media

GET https://defensacivil.gov.co/robots.txt devuelve 200 text/plain y lista rutas como /administrator/, /admin/, /_administracion/, /_config/, /_db/, /_private/, /user/login/ y archivos Drupal/Joomla como /CHANGELOG.txt e /install.php.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

robots.txt revela 1 ruta(s) sensibles en barrancabermeja.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.barrancabermeja.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en cartagena.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en dni.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.dni.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en prosperidadsocial.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.fondoadaptacion.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en fac.mil.co

Media

robots.txt sigue listando rutas administrativas Drupal como /admin/ e /index.php/admin/; ambas redirigen a www y responden 403, confirmando rutas reales no secretas pero enumerables.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-06-27

robots.txt revela 3 ruta(s) sensibles en antioquia.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/, /api/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en www.antioquia.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/, /api/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en atlantico.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/, /api/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en www.atlantico.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/, /api/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en caldas.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.caldas.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en turismo.choco.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en cordoba.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.cordoba.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en tolima.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.tolima.gov.co

Media

Disallow/Allow incluye: /administrator/, /tmp/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en valledelcauca.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en www.valledelcauca.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Source maps referenciados en HTML de imprenta.gov.co

Media

El HTML expone 4 referencia(s) a archivos .map: handleAccessTokens.inline.dc220a1a.bundle.min.js.map, overrideGlobals.inline.306e90d8.bundle.min.js.map, main.ad32ab84.min.css.map. Si los .map son accesibles, el codigo fuente original es reconstruible.

Por qué importa: Los source maps deobfuscan minificacion y revelan estructura de codigo, comentarios, paths internos. Buena practica: mantener .map fuera de produccion o servirlos solo para herramientas internas.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en inci.gov.co

Media

Disallow/Allow incluye: /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.inci.gov.co

Media

Disallow/Allow incluye: /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en insor.gov.co

Media

Disallow/Allow incluye: /home/wp-admin/, /home/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en intranet.insor.gov.co

Media

Disallow/Allow incluye: /home/wp-admin/, /home/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en test.insor.gov.co

Media

Disallow/Allow incluye: /home/wp-admin/, /home/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.insor.gov.co

Media

Disallow/Allow incluye: /home/wp-admin/, /home/wp-admin/admin-ajax.php. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

MinCiencias: robots.txt revela rutas internas de Drupal

Media

robots.txt sigue exponiendo rutas Drupal como /admin/, /CHANGELOG.txt, /install.php, /update.php, /xmlrpc.php, /user/login/ y /user/password/.

Por qué importa: Aunque robots.txt es público por diseño, listar rutas internas facilita fingerprinting y priorización de pruebas sobre un CMS Drupal 7 fuera de soporte.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

robots.txt revela 1 ruta(s) sensibles en mintransporte.gov.co

Media

Disallow/Allow incluye: /backup. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en minvivienda.gov.co

Media

robots.txt lista rutas sensibles: /admin/, /user/login, /user/register, /user/password, /user/logout y equivalentes /index.php/.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

robots.txt revela 3 ruta(s) sensibles en procolombia.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en rtvc.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en supersolidaria.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en ugpp.gov.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en uiaf.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en udistrital.edu.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en www.udistrital.edu.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

robots.txt revela 2 ruta(s) sensibles en www.upn.edu.co

Media

Disallow/Allow incluye: /wp-admin/admin-ajax.php, /wp-admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

robots.txt revela 3 ruta(s) sensibles en upra.gov.co

Media

Disallow/Allow incluye: /composer/Template/README.txt, /admin/, /index.php/admin/. robots.txt es publico — los crawlers respetan, los atacantes lo usan como mapa.

Por qué importa: robots.txt no impide acceso, solo solicita ignorar a crawlers benignos. Listar paths internos/admin alli es un atajo para enumerar superficie sensible.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de florencia-caqueta.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de leticia-amazonas.gov.co (100 dominios)

Media

El certificado lista 100 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de mitu-vaupes.gov.co (34 dominios)

Media

El certificado lista 34 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de alcaldiadesincelejo.gov.co (34 dominios)

Media

El certificado lista 34 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de soledad-atlantico.gov.co (96 dominios)

Media

El certificado lista 96 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de tunja-boyaca.gov.co (100 dominios)

Media

El certificado lista 100 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de yopal-casanare.gov.co (96 dominios)

Media

El certificado lista 96 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de cormacarena.gov.co (92 dominios)

Media

El certificado lista 92 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de corpochivor.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de tumaco-narino.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Referencias a localhost/IP privada en bundle del portal transmilenio.gov.co

Media

URLs encontradas: http://localhost

Por qué importa: Aunque localhost no es un riesgo directo en producción, indica build poco depurado — posible que otras strings sensibles también hayan quedado.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de homo.gov.co (44 dominios)

Media

El certificado lista 44 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de amazonas.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de caqueta.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de choco.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de guainia.gov.co (96 dominios)

Media

El certificado lista 96 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de guaviare.gov.co (98 dominios)

Media

El certificado lista 98 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Referencias a localhost/IP privada en bundle del portal putumayo.gov.co

Media

URLs encontradas: http://localhost:8000, http://localhost:8000

Por qué importa: Aunque localhost no es un riesgo directo en producción, indica build poco depurado — posible que otras strings sensibles también hayan quedado.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de sucre.gov.co (38 dominios)

Media

El certificado lista 38 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de vaupes.gov.co (96 dominios)

Media

El certificado lista 96 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de vichada.gov.co (82 dominios)

Media

El certificado lista 82 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Referencias a localhost/IP privada en bundle del portal hospitalmilitar.gov.co

Media

URLs encontradas: http://localhost

Por qué importa: Aunque localhost no es un riesgo directo en producción, indica build poco depurado — posible que otras strings sensibles también hayan quedado.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

SAN list extenso en cert de migracioncolombia.gov.co (100 dominios)

Media

El certificado lista 100 dominios en SAN; se omite la muestra completa en artefactos publicos.

Por qué importa: Un SAN extenso publica todos los servicios cubiertos por el cert. Útil para enumeración: un atacante obtiene el inventario de subservicios sin escanear DNS.

Divulgación de informaciónA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.apartado-antioquia.gov.co: X-Powered-By=N/A; apartado-antioquia.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.arauca-arauca.gov.co: X-Powered-By=ASP.NET; arauca-arauca.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: intranet.armenia.gov.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: sgd.barrancabermeja.gov.co: X-Powered-By=ASP.NET; www.barrancabermeja.gov.co: X-Powered-By=N/A; barrancabermeja.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: cultura.bello.gov.co: X-Generator=Drupal 11 (https://www.drupal.org); datos.bello.gov.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: intranet.bucaramanga.gov.co: X-Powered-By=PHP/7.4.33; tramites.bucaramanga.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: test.cali.gov.co: X-Powered-By=PHP/7.2.34; planeacion.cali.gov.co: X-Powered-By=PHP/5.5.38.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: intranet.cucuta.gov.co: X-Powered-By=PHP/7.3.31; geoportal.cucuta.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.galapa-atlantico.gov.co: X-Powered-By=ASP.NET; galapa-atlantico.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.girardot-cundinamarca.gov.co: X-Powered-By=ASP.NET; girardot-cundinamarca.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.giron-santander.gov.co: X-Powered-By=ASP.NET; giron-santander.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: turismo.ibague.gov.co: X-Powered-By=PHP/8.1.33; predial.ibague.gov.co: X-Powered-By=PHP/7.4.33; intranet.ibague.gov.co: X-Powered-By=PHP/5.6.40.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.inirida-guainia.gov.co: X-Powered-By=ASP.NET; inirida-guainia.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: api.itagui.gov.co: X-Powered-By=ASP.NET; sigi.itagui.gov.co: X-Powered-By=ASP.NET; intranet.itagui.gov.co: X-Powered-By=Next.js.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.jamundi.gov.co: X-Powered-By=ASP.NET; jamundi.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.malambo-atlantico.gov.co: X-Powered-By=ASP.NET; malambo-atlantico.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: sig.manizales.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: mitu-vaupes.gov.co: X-Powered-By=ASP.NET; www.mitu-vaupes.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: mocoa-putumayo.gov.co: X-Powered-By=ASP.NET; www.mocoa-putumayo.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: sahagun-cordoba.gov.co: X-Powered-By=ASP.NET; www.sahagun-cordoba.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: alcaldianeiva.gov.co: X-Powered-By=ASP.NET; www.alcaldianeiva.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: tramites.palmira.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: tramites.pasto.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: tributario.pereira.gov.co: X-Powered-By=Servlet/6.0 JSP/3.1 (Payara Server 6.2025.2 #badassfish Java/Azul Systems, Inc./17); www.pereira.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: popayan.gov.co: X-Powered-By=ASP.NET; www.popayan.gov.co: X-Powered-By=ASP.NET; tramites.popayan.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.puertocarreno-vichada.gov.co: X-Powered-By=ASP.NET; puertocarreno-vichada.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.quibdo-choco.gov.co: X-Powered-By=ASP.NET; quibdo-choco.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: riohacha-laguajira.gov.co: X-Powered-By=ASP.NET; www.riohacha-laguajira.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 6 hosts

Media

Ejemplos: mail.sabaneta.gov.co: X-Powered-By=ASP.NET; cultura.sabaneta.gov.co: X-Powered-By=PHP/8.2.30; qa.sabaneta.gov.co: X-Powered-By=PHP/8.4.20.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: documentos.sanandres.gov.co: X-Powered-By=PHP/8.4.19; hacienda.sanandres.gov.co: X-Powered-By=PHP/8.4.19; turismo.sanandres.gov.co: X-Powered-By=PHP/8.3.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: santamarta.gov.co: X-Generator=Drupal 7 (http://drupal.org) + govCMS (http://govcms.gov.au); www.santamarta.gov.co: X-Generator=Drupal 7 (http://drupal.org) + govCMS (http://govcms.gov.au).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.alcaldiadesincelejo.gov.co: X-Powered-By=ASP.NET; alcaldiadesincelejo.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: turbaco-bolivar.gov.co: X-Powered-By=ASP.NET; www.turbaco-bolivar.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: turbo-antioquia.gov.co: X-Powered-By=ASP.NET; www.turbo-antioquia.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: villamaria-caldas.gov.co: X-Powered-By=ASP.NET; www.villamaria-caldas.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: webmail.villavicencio.gov.co: X-Powered-By=PHP/8.3.30; app.villavicencio.gov.co: X-Powered-By=PleskLin.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: yumbo.gov.co: X-Powered-By=N/A; mail.yumbo.gov.co: X-Powered-By=PHP/8.3.30; www.yumbo.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: sirh.metropol.gov.co: X-Powered-By=ASP.NET; www.metropol.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: apps.amb.gov.co: X-Powered-By=ASP.NET; dashboard.amb.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: www.amco.gov.co: X-Powered-By=n/a; amco.gov.co: X-Powered-By=n/a; intranet.amco.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: amc.gov.co: X-Powered-By=PHP/8.0.30; www.amc.gov.co: X-Powered-By=PHP/8.0.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: geoportal.corpoboyaca.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: admin.carsucre.gov.co: X-Powered-By=PHP/8.3.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: mail.cda.gov.co: X-Powered-By=PHP/7.4.33; cda.gov.co: X-Powered-By=PHP/7.2.34; www.cda.gov.co: X-Powered-By=PHP/7.2.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: cdmb.gov.co: X-Powered-By=PHP/7.4.33; www.cdmb.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: corantioquia.gov.co: X-Powered-By=PHP/8.0.11; www.corantioquia.gov.co: X-Powered-By=PHP/8.0.11; gis.corantioquia.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: soporte.cormacarena.gov.co: X-Powered-By=PHP/8.1.27.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: connector.cornare.gov.co: X-Powered-By=ASP.NET; sumati.cornare.gov.co: X-Powered-By=PHP/8.4.10; www.cornare.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: vpn.corpoamazonia.gov.co: X-Powered-By=ASP.NET; www.corpoamazonia.gov.co: X-Powered-By=PHP/7.4.33; mail.corpoamazonia.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.corpocaldas.gov.co: X-Powered-By=ASP.NET; corpocaldas.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: webmail.corponarino.gov.co: X-Powered-By=PHP/7.4.33; corponarino.gov.co: X-Powered-By=PHP/8.1.34; www.corponarino.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: extranet.cortolima.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: external-pages.crc.gov.co: X-Powered-By=PHP/8.2.12; www.crc.gov.co: X-Powered-By=PHP/5.4.16; crc.gov.co: X-Powered-By=PHP/5.4.16.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: crq.gov.co: X-Powered-By=PHP/8.3.30; www.crq.gov.co: X-Powered-By=PHP/8.3.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: www.sedeelectronica.cvc.gov.co: X-Generator=Drupal 9 (https://www.drupal.org); ecopedia.cvc.gov.co: X-Generator=Drupal 9 (https://www.drupal.org); calidadaire.cvc.gov.co: X-Generator=Drupal 9 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.epacartagena.gov.co: X-Powered-By=PHP/8.3.30; epacartagena.gov.co: X-Powered-By=PHP/8.3.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: oab.ambientebogota.gov.co: X-Powered-By=PHP/7.4.33; www.oab.ambientebogota.gov.co: X-Powered-By=PHP/7.4.33; cimab.ambientebogota.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen telemetria interna del CMS

Media

X-Drupal-Cache, X-Drupal-Dynamic-Cache (UNCACHEABLE) y SPRequestDuration son visibles en cada respuesta.

Por qué importa: La telemetria interna del CMS no debe estar accesible externamente --- facilita identificar paginas con cacheo deficiente para amplificar ataques.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: pqrs.casur.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: www.colsubsidio.com: X-Powered-By=Next.js; salud.colsubsidio.com: X-Powered-By=Next.js; colsubsidio.com: X-Powered-By=Next.js.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: www.comfenalcovalle.com.co: X-Powered-By=PHP/8.4.12; test.comfenalcovalle.com.co: X-Powered-By=PHP/8.4.12; ftp.comfenalcovalle.com.co: X-Powered-By=PHP/8.4.12.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: centrodememoriahistorica.gov.co: X-Powered-By=PHP/7.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: archivos.contraloriacali.gov.co: X-Powered-By=PHP/5.6.40.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: app.contraloriadecartagena.gov.co: X-Powered-By=PHP/8.1.34; contraloriadecartagena.gov.co: X-Powered-By=PHP/8.1.34; nuevo.contraloriadecartagena.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: nuevo.contraloriacasanare.gov.co: X-Powered-By=PHP/8.3.30; mail.contraloriacasanare.gov.co: X-Powered-By=PHP/7.4.33; contraloriacasanare.gov.co: X-Powered-By=PHP/7.2.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: contraloriacesar.gov.co: X-Powered-By=PHP/5.3.29; www.contraloriacesar.gov.co: X-Powered-By=PHP/5.3.29.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: mail.contraloriadecordoba.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: turbo-antioquia.gov.co: X-Powered-By=ASP.NET; www.turbo-antioquia.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 6 hosts

Media

Ejemplos: aurora.acueducto.com.co: X-Powered-By=ASP.NET; om.acueducto.com.co: X-Powered-By=ASP.NET; sso.acueducto.com.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: u.epm.com.co: X-Powered-By=ASP.NET; servicesepm.epm.com.co: X-Powered-By=ASP.NET; passwordregistration.epm.com.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: www.transcaribe.gov.co: X-Powered-By=PHP/8.3.30; transcaribe.gov.co: X-Powered-By=PHP/8.3.30; transparencia.transcaribe.gov.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: asmetsalud.com: X-Powered-By=PHP/8.2.30; www.asmetsalud.com: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.capitalsalud.gov.co: X-Powered-By=PHP/7.4.33; capitalsalud.gov.co: X-Powered-By=PHP/7.4.33; portal.capitalsalud.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: test.compensar.com: X-Powered-By=PHP/8.1.29.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: mail.saludtotal.com.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: hdv.gov.co: X-Powered-By=PHP/7.2.25; www.hdv.gov.co: X-Powered-By=PHP/7.2.25.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.hgm.gov.co: X-Powered-By=n/a; hgm.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.esesanjeronimo.gov.co: X-Powered-By=PHP/8.2.30; esesanjeronimo.gov.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: formacionvirtual.hospitalsanrafaeltunja.gov.co: X-Powered-By=PHP/8.3.12.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 7 hosts

Media

Ejemplos: edupracticas.hus.gov.co: X-Powered-By=PHP/8.2.12; dockerrips.hus.gov.co: X-Powered-By=PHP/8.1.34; comitedeetica.hus.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 6 hosts

Media

Ejemplos: citas.metrosalud.gov.co: X-Powered-By=ASP.NET; pqrs.metrosalud.gov.co: X-Powered-By=ASP.NET; tramites.metrosalud.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: mail.pastosaludese.gov.co: X-Powered-By=PHP/7.4.33; pastosaludese.gov.co: X-Powered-By=PHP/7.4.33; www.pastosaludese.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.subredcentrooriente.gov.co: X-Generator=Drupal 7 (http://drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www2.subrednorte.gov.co: X-Powered-By=PHP/5.6.31; subrednorte.gov.co: X-Powered-By=PHP/8.2.29; www.subrednorte.gov.co: X-Powered-By=PHP/8.2.29.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.subredsur.gov.co: X-Powered-By=PHP/8.3.16.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.subredsuroccidente.gov.co: X-Powered-By=WP Rocket/3.7; subredsuroccidente.gov.co: X-Powered-By=WP Rocket/3.7.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: api.satellites4people.test.ia.fondoadaptacion.gov.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: tramites.arauca.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 6 hosts

Media

Ejemplos: www.caldas.gov.co: X-Powered-By=PHP/7.4.33; nuevo.caldas.gov.co: X-Powered-By=PHP/7.4.33; educacion.caldas.gov.co: X-Powered-By=PHP/7.3.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.cauca.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: educacion.cesar.gov.co: X-Powered-By=PHP/5.6.40; cesar.gov.co: X-Powered-By=PHP/5.6.40; mail.cesar.gov.co: X-Powered-By=PHP/5.6.40.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: cordoba.gov.co: X-Powered-By=N/A; www.cordoba.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: eldoradoradio.cundinamarca.gov.co: X-Powered-By=PHP/8.3.19; av.cundinamarca.gov.co: X-Powered-By=ASP.NET; deguello.cundinamarca.gov.co: X-Powered-By=PHP/8.1.10.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.huila.gov.co: X-Powered-By=n/a; huila.gov.co: X-Powered-By=n/a; soporte.huila.gov.co: X-Powered-By=Znuny 6.5.15 (https://www.znuny.org/).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: files.magdalena.gov.co: X-Powered-By=PleskLin; webmail.magdalena.gov.co: X-Powered-By=PHP/8.3.30; datos.magdalena.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: facturacion.meta.gov.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 7 hosts

Media

Ejemplos: narino.gov.co: X-Powered-By=PHP/8.4.20; www.narino.gov.co: X-Powered-By=PHP/8.4.20; app.narino.gov.co: X-Powered-By=PleskLin.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.nortedesantander.gov.co: X-Powered-By=Express; nortedesantander.gov.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: webmail.quindio.gov.co: X-Powered-By=PHP/7.2.30; mail.quindio.gov.co: X-Powered-By=PHP/7.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.risaralda.gov.co: X-Powered-By=n/a; risaralda.gov.co: X-Powered-By=n/a; tramites.risaralda.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: documentos.sanandres.gov.co: X-Powered-By=PHP/8.4.19; hacienda.sanandres.gov.co: X-Powered-By=PHP/8.4.19; turismo.sanandres.gov.co: X-Powered-By=PHP/8.3.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: intranet.santander.gov.co: X-Powered-By=n/a; turismo.santander.gov.co: X-Powered-By=Next.js; www.santander.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: intranet.valledelcauca.gov.co: X-Powered-By=n/a; tramites.valledelcauca.gov.co: X-Powered-By=Proxy; valledelcauca.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: inci.gov.co: X-Generator=Drupal 10 (https://www.drupal.org); www.inci.gov.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.insor.gov.co: X-Powered-By=PHP/8.2.12; intranet.insor.gov.co: X-Powered-By=PHP/8.1.25; insor.gov.co: X-Powered-By=PHP/8.2.12.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: intranet.personeriabogota.gov.co: X-Powered-By=PHP/7.4.33; apps.personeriabogota.gov.co: X-Powered-By=PHP/5.5.38; www.personeriabogota.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: ftp.personeriacali.gov.co: X-Powered-By=PHP/7.3.33; www.personeriacali.gov.co: X-Powered-By=PHP/7.4.33; personeriacali.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: www.personeriacartagena.gov.co: X-Powered-By=PHP/5.6.40; ftp.personeriacartagena.gov.co: X-Powered-By=PHP/5.6.40; mail.personeriacartagena.gov.co: X-Powered-By=PHP/5.6.40.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: areandina.edu.co: X-Powered-By=Express; www.areandina.edu.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.eafit.edu.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: mail.iberoamericana.edu.co: X-Powered-By=ASP.NET; ftp.iberoamericana.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: api.itm.edu.co: X-Powered-By=ASP.NET; pagos.itm.edu.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: proyectos.javerianacali.edu.co: X-Powered-By=ASP.NET; javerianacali.edu.co: X-Generator=Drupal 11 (https://www.drupal.org); movilidad.javerianacali.edu.co: X-Generator=Drupal 11 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: poligran.edu.co: X-Powered-By=ASP.NET; www.poligran.edu.co: X-Powered-By=ASP.NET; apps.poligran.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.konradlorenz.edu.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: www.lasalle.edu.co: X-Powered-By=Next.js; lasalle.edu.co: X-Powered-By=Next.js; intranet.lasalle.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.politecnicojic.edu.co: X-Powered-By=PHP/8.1.22; politecnicojic.edu.co: X-Powered-By=PHP/8.1.22; www2.politecnicojic.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: uan.edu.co: X-Powered-By=PHP/8.3.26; www.uan.edu.co: X-Powered-By=PHP/8.3.26.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: bi.ucentral.edu.co: X-Powered-By=ASP.NET; www.ucentral.edu.co: X-Generator=Drupal 10 (https://www.drupal.org); ucentral.edu.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.ucundinamarca.edu.co: X-Powered-By=PHP/7.3.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: udistrital.edu.co: X-Powered-By=PHP/8.3.0; udistrital.edu.co: X-Generator=Drupal 10 (https://www.drupal.org); www.udistrital.edu.co: X-Powered-By=PHP/8.3.0.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: datos.uexternado.edu.co: X-Powered-By=Servlet/6.0 JSP/3.1 (Payara Server 6.2024.6 #badassfish Java/Ubuntu/17).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 6 hosts

Media

Ejemplos: m.ufps.edu.co: X-Powered-By=PHP/5.6.31; sigep.ufps.edu.co: X-Powered-By=PHP/5.6.29; api.ufps.edu.co: X-Powered-By=PHP/5.6.31.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: ufpso.edu.co: X-Powered-By=PHP/8.3.8; planeacion.ufpso.edu.co: X-Powered-By=PHP/5.4.16.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www2.uis.edu.co: X-Powered-By=PHP/8.0.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: umariana.edu.co: X-Powered-By=ASP.NET; www.umariana.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.unbosque.edu.co: X-Generator=Drupal 10 (https://www.drupal.org); portal.unbosque.edu.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: gobierno.uniandes.edu.co: X-Powered-By=PHP/8.2.27; educacion.uniandes.edu.co: X-Powered-By=PHP/7.2.11; educacion.uniandes.edu.co: X-Generator=Drupal 7 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.uniatlantico.edu.co: X-Powered-By=PHP/7.4.30; uniatlantico.edu.co: X-Powered-By=PHP/7.4.30; repositorio.uniatlantico.edu.co: X-Powered-By=Express.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.uniboyaca.edu.co: X-Generator=Drupal 11 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.unicolmayor.edu.co: X-Powered-By=PHP/7.4.33; unicolmayor.edu.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: unillanos.edu.co: X-Powered-By=PHP/5.3.10-1ubuntu3.21; www.unillanos.edu.co: X-Powered-By=PHP/5.3.10-1ubuntu3.21.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: mail.unimagdalena.edu.co: X-Powered-By=ASP.NET; cdn.unimagdalena.edu.co: X-Powered-By=ASP.NET; autodiscover.unimagdalena.edu.co: X-Powered-By=ASP.NET.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: api.unipacifico.edu.co: X-Powered-By=PHP/7.4.32; www.unipacifico.edu.co: X-Powered-By=PHP/8.1.7.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: unisabana.edu.co: X-Generator=Drupal 10 (https://www.drupal.org); www.unisabana.edu.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 4 hosts

Media

Ejemplos: univalle.edu.co: X-Powered-By=PHP/7.4.22; seguridad.univalle.edu.co: X-Powered-By=PHP/7.4.33; gabinete.univalle.edu.co: X-Powered-By=PHP/8.2.3.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.universidadean.edu.co: X-Generator=Drupal 8 (https://www.drupal.org); universidadean.edu.co: X-Generator=Drupal 8 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: portal.upb.edu.co: X-Powered-By=WordPress VIP <https://wpvip.com>; www.upb.edu.co: X-Powered-By=WordPress VIP <https://wpvip.com>; upb.edu.co: X-Powered-By=WordPress VIP <https://wpvip.com>.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: estadisticas.upn.edu.co: X-Powered-By=Shiny Server; planeacion.upn.edu.co: X-Powered-By=PHP/7.4.30; educacion.upn.edu.co: X-Powered-By=PHP/8.4.5.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.urosario.edu.co: X-Generator=Drupal 10 (https://www.drupal.org); urosario.edu.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: ut.edu.co: X-Powered-By=PHP/7.1.30; www.ut.edu.co: X-Powered-By=PHP/7.1.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 1 hosts

Media

Ejemplos: www.utadeo.edu.co: X-Generator=Drupal 7 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: www.utb.edu.co: X-Powered-By=PHP/8.3.30; utb.edu.co: X-Powered-By=PHP/8.3.30; documentos.utb.edu.co: X-Powered-By=PHP/8.2.22.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 8 hosts

Media

Ejemplos: presupuesto.utch.edu.co: X-Powered-By=PHP/7.0.32; tramites.utch.edu.co: X-Powered-By=PHP/7.0.32; utch.edu.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers exponen versiones de stack en 7 hosts

Media

Ejemplos: estadisticas.utp.edu.co: X-Powered-By=PHP/8.3.3; utp.edu.co: X-Powered-By=PHP/8.3.3; www.utp.edu.co: X-Powered-By=PHP/8.3.3.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

11 portales divulgan version exacta de software en headers

Media

Incluye divulgacion de versiones exactas en headers; MinDeporte responde Server: Apache y X-Powered-By: PHP/8.4.20 al 2026-06-27. Facilita identificacion de CVEs conocidos.

Por qué importa: La divulgacion de version permite a atacantes buscar vulnerabilidades conocidas especificas para ese software.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-03

Cronología

Activo

Observado

2026-04-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-03

Ruta /robots.txt listada en Disallow es accesible publicamente

Media

GET https://itagui.gov.co/robots.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /pdt-participacion/ listada en Disallow es accesible publicamente

Media

GET https://itagui.gov.co/pdt-participacion/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /bin/ listada en Disallow es accesible publicamente

Media

GET https://pasto.gov.co/bin/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /INSTALL.sqlite.txt listada en Disallow es accesible publicamente

Media

GET https://santamarta.gov.co/INSTALL.sqlite.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /xmlrpc.php listada en Disallow es accesible publicamente

Media

GET https://santamarta.gov.co/xmlrpc.php retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /INSTALL.mysql.txt listada en Disallow es accesible publicamente

Media

GET https://santamarta.gov.co/INSTALL.mysql.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://cvc.gov.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /filter/tips listada en Disallow es accesible publicamente

Media

GET https://cvc.gov.co/filter/tips retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.txt listada en Disallow es accesible publicamente

Media

GET https://cnsc.gov.co/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Ruta /modules/README.txt listada en Disallow es accesible publicamente

Media

GET https://cartagena.gov.co/modules/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /sites/README.txt listada en Disallow es accesible publicamente

Media

GET https://cartagena.gov.co/sites/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://cartagena.gov.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /filter/tips listada en Disallow es accesible publicamente

Media

GET https://cartagena.gov.co/filter/tips retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /themes/README.txt listada en Disallow es accesible publicamente

Media

GET https://cartagena.gov.co/themes/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.txt listada en Disallow es accesible publicamente

Media

GET https://fac.mil.co/README.txt redirige a www.fac.mil.co y retorna 200 text/plain con el README de Drupal.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-06-27

Ruta /README.txt listada en Disallow es accesible publicamente

Media

GET https://inci.gov.co/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /home/wp-admin/ listada en Disallow es accesible publicamente

Media

GET https://insor.gov.co/home/wp-admin/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409484:2-Direccion-estrategica-y-planeacion retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal//400258:9-Informativas listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal//400258:9-Informativas retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2019/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420322: listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420322: retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2020/ listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2020/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/FURAG-2019/393399:5-Evaluacion-de-Resultados retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420317: retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal//400253:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal//400253:6-Informacion-y-Comunicacion retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2023/420315: retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2024/ retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal//400256:8-Gestion-del-Conocimiento-y-la-Innovacion retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409488:6-Informacion-y-Comunicacion retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados listada en Disallow es accesible publicamente

Media

GET https://mineducacion.gov.co/portal/micrositios-institucionales/Modelo-Integrado-de-Planeacion-y-Gestion/Furag-2021/409487:5-Evaluacion-de-Resultados retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /modules/README.txt listada en Disallow es accesible publicamente

Media

GET https://supersolidaria.gov.co/modules/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Ruta /sites/README.txt listada en Disallow es accesible publicamente

Media

GET https://supersolidaria.gov.co/sites/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://supersolidaria.gov.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

Ruta /modules/README.txt listada en Disallow es accesible publicamente

Media

GET https://uiaf.gov.co/modules/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /sites/README.txt listada en Disallow es accesible publicamente

Media

GET https://uiaf.gov.co/sites/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://uiaf.gov.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /themes/README.txt listada en Disallow es accesible publicamente

Media

GET https://uiaf.gov.co/themes/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /modules/README.txt listada en Disallow es accesible publicamente

Media

GET https://udistrital.edu.co/modules/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /sites/README.txt listada en Disallow es accesible publicamente

Media

GET https://udistrital.edu.co/sites/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://udistrital.edu.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /themes/README.txt listada en Disallow es accesible publicamente

Media

GET https://udistrital.edu.co/themes/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /modules/README.txt listada en Disallow es accesible publicamente

Media

GET https://upra.gov.co/modules/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /sites/README.txt listada en Disallow es accesible publicamente

Media

GET https://upra.gov.co/sites/README.txt retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Ruta /README.md listada en Disallow es accesible publicamente

Media

GET https://upra.gov.co/README.md retorna 200.

Por qué importa: robots.txt expresa intencion de ocultar; un atacante usa esa lista como mapa. Ruta accesible significa que la 'proteccion' es solo cooperativa.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Drupal CHANGELOG.txt accesible en archivogeneral.gov.co

Media

GET https://archivogeneral.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en intranet.armenia.gov.co

Media

GET https://intranet.armenia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en armenia.gov.co

Media

GET https://armenia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.armenia.gov.co

Media

GET https://www.armenia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en ftp.armenia.gov.co

Media

GET https://ftp.armenia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en cultura.bello.gov.co

Media

GET https://cultura.bello.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en datos.bello.gov.co

Media

GET https://datos.bello.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en dev.bogota.gov.co

Media

GET https://dev.bogota.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.bogota.gov.co

Media

GET https://www.bogota.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en bogota.gov.co

Media

GET https://bogota.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en pasto.gov.co

Media

GET https://pasto.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.pasto.gov.co

Media

GET https://www.pasto.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en santamarta.gov.co

Media

GET https://santamarta.gov.co/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.santamarta.gov.co

Media

GET https://www.santamarta.gov.co/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en ansv.gov.co

Media

GET https://ansv.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.cdmb.gov.co

Media

GET https://www.cdmb.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Joomla manifest XML accesible en cdmb.gov.co

Media

GET https://cdmb.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Joomla manifest XML accesible en rueda.cortolima.gov.co

Media

GET https://rueda.cortolima.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en cortolima.gov.co

Media

GET https://cortolima.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.cortolima.gov.co

Media

GET https://www.cortolima.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en binet.cortolima.gov.co

Media

GET https://binet.cortolima.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

CRA: Drupal CHANGELOG.txt accesible sin versión exacta

Media

GET https://cra.gov.co/core/CHANGELOG.txt retorna 200 text/plain con el stub moderno de Drupal sobre ciclo de releases; una ruta aleatoria devuelve 404, por lo que no es catch-all. El archivo no fija patch exacto, pero confirma archivos core Drupal expuestos públicamente.

Por qué importa: Aunque el archivo no lista una versión de parche, mantener archivos core auxiliares accesibles facilita fingerprinting del CMS y confirma superficie Drupal expuesta junto con X-Generator: Drupal 9.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Joomla manifest XML accesible en contraloriadelatlantico.gov.co

Media

GET https://contraloriadelatlantico.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.contraloriadelatlantico.gov.co

Media

GET https://www.contraloriadelatlantico.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en contraloriabogota.gov.co

Media

GET https://contraloriabogota.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.contraloriabogota.gov.co

Media

GET https://www.contraloriabogota.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en cartagena.gov.co

Media

GET https://cartagena.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.famisanar.com.co

Media

GET https://www.famisanar.com.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.hflleras.gov.co

Media

GET https://www.hflleras.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en hflleras.gov.co

Media

GET https://hflleras.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.metrosalud.gov.co

Media

GET https://www.metrosalud.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en metrosalud.gov.co

Media

GET https://metrosalud.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.subredcentrooriente.gov.co

Media

GET https://www.subredcentrooriente.gov.co/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en antioquia.gov.co

Media

GET https://antioquia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.antioquia.gov.co

Media

GET https://www.antioquia.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en atlantico.gov.co

Media

GET https://atlantico.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.atlantico.gov.co

Media

GET https://www.atlantico.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.caldas.gov.co

Media

GET https://www.caldas.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en nuevo.caldas.gov.co

Media

GET https://nuevo.caldas.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en educacion.caldas.gov.co

Media

GET https://educacion.caldas.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en caldas.gov.co

Media

GET https://caldas.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en educacion.cesar.gov.co

Media

GET https://educacion.cesar.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en ftp.quindio.gov.co

Media

GET https://ftp.quindio.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en turismo.quindio.gov.co

Media

GET https://turismo.quindio.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.quindio.gov.co

Media

GET https://www.quindio.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en quindio.gov.co

Media

GET https://quindio.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Joomla manifest XML accesible en cultura.quindio.gov.co

Media

GET https://cultura.quindio.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en ideam.gov.co

Media

GET https://ideam.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en inci.gov.co

Media

GET https://inci.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.inci.gov.co

Media

GET https://www.inci.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

MinCiencias: CHANGELOG.txt de Drupal accesible

Media

https://minciencias.gov.co/CHANGELOG.txt responde HTTP 200 y revela Drupal 7.65 (2019-03-20).

Por qué importa: La exposición del CHANGELOG facilita fingerprinting exacto de versión y cruce con CVEs aplicables, especialmente cuando el portal sigue en Drupal 7.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en cancilleria.gov.co

Media

GET https://cancilleria.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en minvivienda.gov.co

Media

/core/CHANGELOG.txt sigue accesible y entrega texto de changelog Drupal; la verificacion actual no observo version exacta en la cabecera inspeccionada.

Por qué importa: Exponer archivos de plataforma facilita fingerprinting del CMS y confirma superficie Drupal. La prioridad es bloquear archivos internos no necesarios en raiz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Joomla manifest XML accesible en intranet.personeriabogota.gov.co

Media

GET https://intranet.personeriabogota.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.personeriabogota.gov.co

Media

GET https://www.personeriabogota.gov.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en rtvc.gov.co

Media

GET https://rtvc.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en supersolidaria.gov.co

Media

GET https://supersolidaria.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en uiaf.gov.co

Media

GET https://uiaf.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.politecnicojic.edu.co

Media

GET https://www.politecnicojic.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en politecnicojic.edu.co

Media

GET https://politecnicojic.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en uan.edu.co

Media

GET https://uan.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.uan.edu.co

Media

GET https://www.uan.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.ucentral.edu.co

Media

GET https://www.ucentral.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en ucentral.edu.co

Media

GET https://ucentral.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.ucundinamarca.edu.co

Media

GET https://www.ucundinamarca.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.udistrital.edu.co

Media

GET https://www.udistrital.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en udistrital.edu.co

Media

GET https://udistrital.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Joomla manifest XML accesible en intranet.unad.edu.co

Media

GET https://intranet.unad.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.unbosque.edu.co

Media

GET https://www.unbosque.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en portal.unbosque.edu.co

Media

GET https://portal.unbosque.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en planeacion.uniandes.edu.co

Media

GET https://planeacion.uniandes.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.uniandes.edu.co

Media

GET https://www.uniandes.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en uniandes.edu.co

Media

GET https://uniandes.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en educacion.uniandes.edu.co

Media

GET https://educacion.uniandes.edu.co/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en comercio.unicesar.edu.co

Media

GET https://comercio.unicesar.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en documentos.unicesar.edu.co

Media

GET https://documentos.unicesar.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en fenix.unicesar.edu.co

Media

GET https://fenix.unicesar.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en soporte.unicesar.edu.co

Media

GET https://soporte.unicesar.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en unillanos.edu.co

Media

GET https://unillanos.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en sig.unillanos.edu.co

Media

GET https://sig.unillanos.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en planeacion.unillanos.edu.co

Media

GET https://planeacion.unillanos.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.unillanos.edu.co

Media

GET https://www.unillanos.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.unisabana.edu.co

Media

GET https://www.unisabana.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en unisabana.edu.co

Media

GET https://unisabana.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en urosario.edu.co

Media

GET https://urosario.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en www.urosario.edu.co

Media

GET https://www.urosario.edu.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en ut.edu.co

Media

GET https://ut.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Joomla manifest XML accesible en www.ut.edu.co

Media

GET https://www.ut.edu.co/administrator/manifests/files/joomla.xml retorna joomla.xml con versión.

Por qué importa: Manifest revela versión exacta — facilita CVE matching.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Drupal CHANGELOG.txt accesible en upra.gov.co

Media

GET https://upra.gov.co/core/CHANGELOG.txt entrega historial de versiones Drupal.

Por qué importa: El CHANGELOG revela versión exacta de Drupal y patches aplicados — facilita matching con CVEs publicadas. Recomendación: bloquear o eliminar de raíz web.

Divulgación de informaciónA06:2021 — Vulnerable and Outdated ComponentsConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 157 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 13 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 176 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 18 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 20 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 13 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 18 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 20 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 13 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 158 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 51 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 157 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 1 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 16 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 112 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 59 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 22 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 59 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 188 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 23 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 60 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 37 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 16 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 155 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Ausencia total de canal de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar. Aumenta probabilidad de divulgacion publica antes de remediacion. Costo de implementacion: una tarde.

Divulgación responsableConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 13 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 19 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 11 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 12 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 17 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Swagger UI / Redoc accesible en dashboard.cali.gov.co

Media

GET https://dashboard.cali.gov.co/swagger-ui.html responde con interfaz documentación API.

Por qué importa: Interfaz interactiva de exploración del API. Suele venir junto al spec — verifica si requiere auth.

Documentación API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Swagger UI / Redoc accesible en api-prescriptive-modeling.test.ia.fondoadaptacion.gov.co

Media

GET https://api-prescriptive-modeling.test.ia.fondoadaptacion.gov.co/redoc responde con interfaz documentación API.

Por qué importa: Interfaz interactiva de exploración del API. Suele venir junto al spec — verifica si requiere auth.

Documentación API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Swagger UI / Redoc accesible en api-datacatalog.ia.fondoadaptacion.gov.co

Media

GET https://api-datacatalog.ia.fondoadaptacion.gov.co/redoc responde con interfaz documentación API.

Por qué importa: Interfaz interactiva de exploración del API. Suele venir junto al spec — verifica si requiere auth.

Documentación API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Swagger UI / Redoc accesible en auth.cundinamarca.gov.co

Media

GET https://auth.cundinamarca.gov.co/redoc responde con interfaz documentación API.

Por qué importa: Interfaz interactiva de exploración del API. Suele venir junto al spec — verifica si requiere auth.

Documentación API expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

82 portales cargan scripts externos sin verificacion de integridad

Media

82 portales del Estado cargan bibliotecas JavaScript desde CDNs externos sin Subresource Integrity (SRI). MinSalud se retiro del agregado tras verificacion pasiva del 2026-06-27 que no observo scripts externos en la portada.

Por qué importa: Sin SRI, un compromiso del CDN externo infectaria automaticamente multiples portales del Estado colombiano.

SRI ausenteA05:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

ADR rastrea ciudadanos con servicios de rastreo

Media

El portal de Agencia de Desarrollo Rural carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de beneficiarios de programas de desarrollo rural. Poblacion afectada: productores rurales beneficiarios.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Aerocivil rastrea ciudadanos con servicios de rastreo

Media

El portal de Aeronautica Civil de Colombia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Infraestructura critica de aviacion civil. Datos de seguridad aerea. Poblacion afectada: pasajeros aereos y sector aviacion.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

AGN rastrea ciudadanos con servicios de rastreo

Media

El portal de Archivo General de la Nacion carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Patrimonio documental de la nacion con valor historico. Poblacion afectada: sistema archivistico nacional.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

ANLA rastrea ciudadanos con servicios de rastreo

Media

El portal de Autoridad Nacional de Licencias Ambientales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de licencias ambientales con implicaciones economicas y de salud publica. Poblacion afectada: comunidades afectadas por proyectos con licencia ambiental.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

ANM rastrea ciudadanos con servicios de rastreo

Media

El portal de Agencia Nacional de Mineria carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de titulos mineros y contratos de concesion con valor economico. Poblacion afectada: sector minero.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

APC-Colombia rastrea ciudadanos con servicios de rastreo

Media

El portal de Agencia Presidencial de Cooperacion Internacional carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de cooperacion internacional y relaciones con donantes. Poblacion afectada: entidades beneficiarias de cooperacion.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Auditoria General rastrea ciudadanos con servicios de rastreo

Media

El portal de Auditoria General de la Republica carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Auditoria a la Contraloria. Poblacion afectada: Contraloria General.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

CCE rastrea ciudadanos con servicios de rastreo

Media

El portal de Agencia Nacional de Contratacion Publica - Colombia Compra Eficiente carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. CCE gestiona el sistema de contratacion publica de Colombia. SECOP contiene datos de miles de contratos y proveedores. La integridad de la contratacion publica depende de este portal. Poblacion afectada: ~200,000 proveedores registrados en SECOP.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

CNSC rastrea ciudadanos con servicios de rastreo

Media

El portal de Comision Nacional del Servicio Civil carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de concursantes y procesos de seleccion de servidores publicos. Poblacion afectada: aspirantes y servidores publicos en carrera.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

Coljuegos rastrea ciudadanos con servicios de rastreo

Media

El portal de Administradora del Monopolio de Juegos de Suerte y Azar carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de operadores de juegos de azar y apuestas. Poblacion afectada: operadores de juegos y apostadores.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CRA rastrea ciudadanos con servicios de rastreo

Media

La portada de cra.gov.co carga Google Tag Manager/Analytics y Facebook SDK/Pixel antes de observar una señal pasiva de consentimiento previo.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Regulador del servicio de agua potable. Poblacion afectada: prestadores de servicios de agua.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRC rastrea ciudadanos con servicios de rastreo

Media

El portal de Comision de Regulacion de Comunicaciones carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Regulador de telecomunicaciones con informacion de operadores. Poblacion afectada: sector telecomunicaciones.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

CREG rastrea ciudadanos con servicios de rastreo

Media

El portal de Comision de Regulacion de Energia y Gas carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Regulador energetico con datos de tarifas y contratos. Poblacion afectada: sector energetico y consumidores.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Defensa Civil rastrea navegación con Google Analytics/Tag Manager

Media

La portada de defensacivil.gov.co carga Google Analytics/Tag Manager; la captura pasiva del 2026-06-27 identifica 2 trackers asociados a www.googletagmanager.com y google-analytics.com.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Coordinacion de emergencias y rescate. Poblacion afectada: comunidades afectadas por emergencias.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ESAP carga Google Analytics/Tag Manager en la portada

Media

La portada actual carga https://www.googletagmanager.com/gtag/js?id=G-EXQGNC89QM y scripts de terceros como UserWay, ResponsiveVoice y esap.agenti.com.co antes de observar una señal pasiva de consentimiento previo.

Por qué importa: La analítica y servicios de terceros en portales públicos deben justificarse, minimizarse y condicionarse al consentimiento o base legal aplicable para tratamiento de datos de navegación.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

ICA rastrea ciudadanos con servicios de rastreo

Media

El portal de Instituto Colombiano Agropecuario carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de sanidad agropecuaria con implicaciones en comercio internacional. Poblacion afectada: sector agropecuario.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

ICANH rastrea ciudadanos con servicios de rastreo

Media

El portal de Instituto Colombiano de Antropologia e Historia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de patrimonio arqueologico. Poblacion afectada: comunidades con patrimonio arqueologico.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

ICFES rastrea ciudadanos con servicios de rastreo

Media

La portada de ICFES carga Google tag/Analytics y otros terceros; requiere validar base legal, minimizacion y consentimiento.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Resultados academicos individualizados de millones de estudiantes con implicaciones en admision universitaria y becas. Poblacion afectada: ~600,000 estudiantes que presentan Saber 11 anualmente.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

IDEAM rastrea ciudadanos con servicios de rastreo

Media

El portal de Instituto de Hidrologia, Meteorologia y Estudios Ambientales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Sistema de alertas climaticas. Compromiso durante temporada de lluvias podria causar fallas en alertas tempranas. Poblacion afectada: poblacion en zonas de riesgo climatico.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

INVIAS rastrea ciudadanos con servicios de rastreo

Media

El portal de Instituto Nacional de Vias carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de infraestructura vial nacional. Poblacion afectada: usuarios de la red vial nacional.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinAmbiente rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Ambiente y Desarrollo Sostenible carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Informacion de licencias ambientales con implicaciones economicas y de salud publica. Poblacion afectada: comunidades afectadas por proyectos ambientales.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinCiencias carga analítica de terceros en la portada

Media

La portada mantiene Google Analytics/Tag Manager con UA-201830174-1 y GTM-TVKBP3N antes de observar evidencia pasiva de consentimiento previo.

Por qué importa: La analítica de terceros puede transferir metadatos de navegación de ciudadanos, investigadores y proponentes a proveedores externos. El tratamiento debe estar respaldado por base legal, minimización y controles de consentimiento cuando apliquen.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

MinCultura rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de las Culturas, las Artes y los Saberes carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Portal de bajo riesgo de datos personales pero parte de la presencia digital del Estado. Poblacion afectada: sector cultural.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinDeporte rastrea ciudadanos con servicios de rastreo

Media

La portada de MinDeporte carga Google tag/Tag Manager; requiere validar base legal, minimizacion y consentimiento para analitica de terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Portal de bajo riesgo relativo pero parte del ecosistema digital del Estado. Poblacion afectada: sector deportivo.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinInterior rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio del Interior carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Gestiona politicas sensibles de orden publico y relaciones con grupos etnicos protegidos constitucionalmente. Poblacion afectada: gobernaciones, alcaldias, comunidades etnicas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinEnergia rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Minas y Energia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Informacion estrategica sobre recursos energeticos y contratos de explotacion. Poblacion afectada: sector energetico y minero.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Cancilleria rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Relaciones Exteriores carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Maneja datos personales de colombianos en el exterior y tramites con validez juridica internacional. Poblacion afectada: ~6 millones de colombianos en el exterior.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinTransporte rastrea ciudadanos con servicios de rastreo

Media

El portal de Ministerio de Transporte carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Informacion de infraestructura critica de transporte. Poblacion afectada: usuarios del sistema de transporte.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

MinVivienda rastrea ciudadanos con servicios de rastreo

Media

La portada de MinVivienda carga Google Tag Manager/Analytics y otros terceros; content_analysis registra 2 trackers.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Gestiona subsidios de vivienda para poblacion vulnerable. Poblacion afectada: beneficiarios de subsidios de vivienda.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

PNN rastrea ciudadanos con servicios de rastreo

Media

El portal de Parques Nacionales Naturales de Colombia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de areas protegidas y biodiversidad. Poblacion afectada: visitantes y comunidades en areas protegidas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

ProColombia rastrea ciudadanos con servicios de rastreo

Media

El portal de Promotora de Turismo carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de empresas exportadoras e inversionistas extranjeros. Poblacion afectada: empresas exportadoras y sector turistico.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

RTVC rastrea ciudadanos con servicios de rastreo

Media

El portal de Radio Television Nacional de Colombia carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Medios publicos de comunicacion. Poblacion afectada: audiencia de medios publicos.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SATENA rastrea ciudadanos con servicios de rastreo

Media

El portal de Servicio Aereo a Territorios Nacionales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Aerolinea estatal con datos de pasajeros. Poblacion afectada: pasajeros en rutas regionales.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Senado rastrea ciudadanos con servicios de rastreo

Media

El portal de Senado de la Republica carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. El portal de la Secretaria del Senado es la fuente oficial de la legislacion colombiana. Modificacion del texto de las leyes socavaria la seguridad juridica de todo el pais. Poblacion afectada: 50 millones de colombianos (seguridad juridica).

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperSubsidio rastrea ciudadanos con servicios de rastreo

Media

El portal de Superintendencia del Subsidio Familiar carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de afiliados a cajas de compensacion y beneficiarios de subsidios. Poblacion afectada: ~10 millones de afiliados a cajas.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperTransporte rastrea ciudadanos con servicios de rastreo

Media

El portal de Superintendencia de Transporte carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de empresas de transporte y seguridad vial. Poblacion afectada: empresas y usuarios de transporte.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

UGPP rastrea ciudadanos con servicios de rastreo

Media

El portal de Unidad de Gestion Pensional y Contribuciones Parafiscales carga scripts de rastreo (servicios de rastreo) que envian datos de navegacion de ciudadanos a terceros.

Por qué importa: Portales gubernamentales que rastrean ciudadanos sin consentimiento explicito pueden violar la Ley 1581/2012 de Proteccion de Datos Personales. Datos de aportes pensionales y seguridad social de millones de trabajadores colombianos. Poblacion afectada: ~22 millones de aportantes al sistema de seguridad social.

Tracking sin consentimientoA07:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

SuperFinanciera: subdominio extranet publicado en DNS publico

Media

extranet.superfinanciera.gov.co sigue publicado en DNS publico y resuelve a 45.226.186.15; las pruebas HTTP y HTTPS del 2026-06-27 no obtuvieron respuesta en 5 segundos.

Por qué importa: Nombres como extranet amplian la superficie de reconocimiento y deben exponerse solo si existe una necesidad publica clara y controles verificables.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ejercito: rutas inexistentes retornan 200 en parte del portal

Media

El portal actual en www.ejercito.mil.co retorna HTTP 200 para rutas inexistentes como /__estado_seguro_probe_20260627, /aws.json y /security.txt, aunque rutas sensibles como /.env y /web.config.bak ya devuelven 403 y algunas rutas internas retornan 404.

Por qué importa: Responder 200 para rutas inexistentes reduce observabilidad y dificulta diferenciar contenido real de fallback de aplicacion. Debe configurarse un 404 consistente para rutas no mapeadas, manteniendo bloqueos 403 para rutas sensibles.

Configuración expuestaA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

XML-RPC habilitado en Agencia de Desarrollo Rural

Media

El endpoint xmlrpc.php esta habilitado en Agencia de Desarrollo Rural. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

XML-RPC habilitado en Agencia Nacional de Contratacion Publica - Colombia Compra Eficiente

Media

El endpoint xmlrpc.php esta habilitado en Agencia Nacional de Contratacion Publica - Colombia Compra Eficiente. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

XML-RPC habilitado en Departamento Administrativo para la Prosperidad Social

Media

El endpoint xmlrpc.php esta habilitado en Departamento Administrativo para la Prosperidad Social. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

XML-RPC habilitado en ESAP

Media

GET https://www.esap.edu.co/xmlrpc.php devuelve HTTP 405 con Allow: POST y el mensaje esperado de WordPress, lo que confirma que XML-RPC sigue habilitado.

Por qué importa: XML-RPC amplía superficie de abuso automatizado y puede facilitar intentos masivos de autenticación si no está restringido o deshabilitado.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

XML-RPC habilitado en Instituto Colombiano de Antropologia e Historia

Media

El endpoint xmlrpc.php esta habilitado en Instituto Colombiano de Antropologia e Historia. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

XML-RPC habilitado en Ministerio de Ambiente y Desarrollo Sostenible

Media

El endpoint xmlrpc.php esta habilitado en Ministerio de Ambiente y Desarrollo Sostenible. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

XML-RPC habilitado en Parques Nacionales Naturales de Colombia

Media

El endpoint xmlrpc.php esta habilitado en Parques Nacionales Naturales de Colombia. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-04

XML-RPC habilitado en Superintendencia de Transporte

Media

El endpoint xmlrpc.php esta habilitado en Superintendencia de Transporte. Puede usarse para ataques de fuerza bruta amplificados.

Por qué importa: XML-RPC permite intentos de autenticacion masivos en una sola peticion, facilitando ataques de fuerza bruta.

API expuestaA01:2021Confianza: verifiedObservado: 2026-04-04

Cronología

Activo

Observado

2026-04-04

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-04

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: tramites.adres.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

El apex adres.gov.co devuelve una respuesta 404 sin los 8 headers de seguridad evaluados; www.adres.gov.co no forma parte del alcance 0/8 actual.

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex arauca-arauca.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: armenia.gov.co, intranet.armenia.gov.co, www.armenia.gov.co, ftp.armenia.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex armenia.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: soporte.bello.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex bello.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: reportes.bogota.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: datos.bucaramanga.gov.co, valorizacion.bucaramanga.gov.co, www.bucaramanga.gov.co, bucaramanga.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex bucaramanga.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex buenaventura.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: planeacion.cali.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cali.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cartago-valle.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex chia-cundinamarca.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex cienaga-magdalena.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: sgd.cucuta.gov.co, catastro.cucuta.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cucuta.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex galapa-atlantico.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex girardot-cundinamarca.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex giron-santander.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookie sin atributo Secure en predial.ibague.gov.co

Media

predial.ibague.gov.co emite cookies con SameSite=Lax, pero sin el atributo Secure.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ibague.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex inirida-guainia.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 8 hosts

Media

Hosts afectados: hacienda.itagui.gov.co, tesoreria.itagui.gov.co, api.itagui.gov.co, sigi.itagui.gov.co, itagui.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex jamundi.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex malambo-atlantico.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex manizales.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: mercurio.medellin.gov.co, vpn.medellin.gov.co, medellin.gov.co, www.medellin.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex medellin.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex mitu-vaupes.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex mocoa-putumayo.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex sahagun-cordoba.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex alcaldianeiva.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex palmira.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: pasto.gov.co, www.pasto.gov.co, participacion.pasto.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex pasto.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: webmail.pereira.gov.co, intranet.pereira.gov.co, tributario.pereira.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex pereira.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex popayan.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex puertocarreno-vichada.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex quibdo-choco.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex riohacha-laguajira.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: movilidad.rionegro.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 6 hosts

Media

Hosts afectados: app.sabaneta.gov.co, cultura.sabaneta.gov.co, qa.sabaneta.gov.co, sabaneta.gov.co, www.sabaneta.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex sabaneta.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: documentos.sanandres.gov.co, hacienda.sanandres.gov.co, turismo.sanandres.gov.co, webmail.sanandres.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex sanandres.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex alcaldiadesincelejo.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex soacha-cundinamarca.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex turbaco-bolivar.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex turbo-antioquia.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin SameSite en webmail.valledupar.gov.co

Media

webmail.valledupar.gov.co emite cookies con Secure y HttpOnly, pero sin atributo SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex villamaria-caldas.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: webmail.villavicencio.gov.co, movilidad.villavicencio.gov.co, atencion.villavicencio.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.yumbo.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.amb.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex amb.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.amc.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex amc.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: playablanca.corpoboyaca.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex corpoboyaca.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: intranet.carder.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: mail.cda.gov.co, sig.cda.gov.co, cda.gov.co, www.cda.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cda.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: cdmb.gov.co, www.cdmb.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

cdmb.gov.co y www.cdmb.gov.co presentan 0 de 8 headers de seguridad evaluados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.cormagdalena.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: sumati.cornare.gov.co, cpanel.cornare.gov.co, webmail.cornare.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cornare.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: www.corpamag.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: www.corpoamazonia.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex corpocaldas.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies con atributos incompletos en hosts de Corpocesar

Media

ide.corpocesar.gov.co emite cookies sin Secure; webmail.corpocesar.gov.co emite cookies con Secure pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corpocesar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: webmail.negociosverdescorpochivor.gov.co, cpanel.negociosverdescorpochivor.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corpoguajira.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corpoguavio.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 6 hosts

Media

Hosts afectados: corpomojana.gov.co, webmail.corpomojana.gov.co, whm.corpomojana.gov.co, mail.corpomojana.gov.co, cpanel.corpomojana.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex corpomojana.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.corponarino.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corponarino.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: cpanel.corponor.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corponor.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: ftp.corporinoquia.gov.co, corporinoquia.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex corporinoquia.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex corpouraba.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies visibles sin SameSite en hosts de Cortolima

Media

Los hosts revisados de Cortolima muestran respuestas visibles de WAF/redirect con cookies que tienen Secure, pero carecen de SameSite; no se atribuyen a una sesion de aplicacion.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: orfeo.crautonoma.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: external-pages.crc.gov.co, www.crc.gov.co, crc.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex crc.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex crq.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex car.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 9 hosts

Media

Hosts afectados: www.sedeelectronica.cvc.gov.co, www.sidap.cvc.gov.co, horizon.cvc.gov.co, ecopedia.cvc.gov.co, calidadaire.cvc.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cvs.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex epacartagena.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: eva.ambientebogota.gov.co, ambientebogota.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex ambientebogota.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies con atributos incompletos en hosts de CASUR

Media

pqrs.casur.gov.co emite una cookie sin Secure ni SameSite; www.casur.gov.co emite una cookie con Secure pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: cafam.com.co, api.cafam.com.co, www.cafam.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cafam.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies con atributos incompletos en hosts de Colsubsidio

Media

salud, auth y ayuda de Colsubsidio siguen mostrando cookies sin Secure y/o SameSite; www/apex no se incluyen en el alcance vigente.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex combarranquilla.com solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: portal.comfacauca.com, git.comfacauca.com, intranet.comfacauca.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies visibles con atributos incompletos en Comfama

Media

Respuestas visibles en hosts de Comfama incluyen cookies sin Secure y/o SameSite; no se afirma que todos los casos correspondan a cookies de sesion de aplicacion.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.comfenalcoantioquia.com.co, comfenalcoantioquia.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex comfenalcoantioquia.com.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: www.comfenalcovalle.com.co, test.comfenalcovalle.com.co, ftp.comfenalcovalle.com.co, intranet.comfenalcovalle.com.co, comfenalcovalle.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex confa.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex centrodememoriahistorica.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-05-02

Headers de seguridad insuficientes en respuestas publicas

Media

cremil.gov.co devuelve una respuesta 404 con 0/8 headers evaluados; www.cremil.gov.co responde con endurecimiento incompleto, no con 0/8.

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: contraloriadelatlantico.gov.co, www.contraloriadelatlantico.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriadelatlantico.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: contraloriabogota.gov.co, www.contraloriabogota.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.contraloriacali.gov.co, archivos.contraloriacali.gov.co, contraloriacali.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriacali.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: app.contraloriadecartagena.gov.co, webmail.contraloriadecartagena.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriadecartagena.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriacasanare.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: contraloriacesar.gov.co, webmail.contraloriacesar.gov.co, www.contraloriacesar.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriacesar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: mail.contraloriadecordoba.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriameta.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.contraloriasucre.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriasucre.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: ftp.contraloriatolima.gov.co, webmail.contraloriatolima.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex contraloriatolima.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex dapre.presidencia.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex buenaventura.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex turbo-antioquia.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 6 hosts

Media

Hosts afectados: aurora.acueducto.com.co, om.acueducto.com.co, sso.acueducto.com.co, acueducto.com.co, www.acueducto.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex acueducto.com.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: www.emcali.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex epm.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: moodlegarc.etb.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex etb.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: mail.megabus.gov.co, new.megabus.gov.co, www.megabus.gov.co, megabus.gov.co, webmail.megabus.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex megabus.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 6 hosts

Media

Hosts afectados: negocios.metrodemedellin.gov.co, tracking.metrodemedellin.gov.co, civica.metrodemedellin.gov.co, metronet.metrodemedellin.gov.co, www.metrodemedellin.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: transparencia.transcaribe.gov.co, new.transcaribe.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex transcaribe.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: api.buscador-rutas.transmilenio.gov.co, gatewayqa-cdeg.transmilenio.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: asmetsalud.com, www.asmetsalud.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex asmetsalud.com solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex capitalsalud.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin SameSite en hosts de Compensar EPS

Media

test.compensar.com y files.compensar.com emiten cookies con Secure, pero multiples cookies carecen de SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex compensar.com solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex famisanar.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex mutualser.org solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: saviasaludeps.com, www.saviasaludeps.com, bi.saviasaludeps.com, webmail.saviasaludeps.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex saviasaludeps.com solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: epssura.com, www.epssura.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex epssura.com solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: hdv.gov.co, www.hdv.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex hdv.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex hdn.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex herasmomeoz.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: hflleras.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex hflleras.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex homo.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex esesanjeronimo.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: formacionvirtual.hospitalsanrafaeltunja.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: cpanel.santasofia.com.co, webmail.santasofia.com.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex santasofia.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex hospitalneiva.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex hus.org.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: moodle.hus.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad incompletos (2/8)

Media

hus.gov.co presenta 2 de 8 headers de seguridad evaluados: CSP y Permissions-Policy; el hallazgo no afirma ausencia total de headers.

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: soporte.imsalud.gov.co, mail.imsalud.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex imsalud.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex isabu.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.hospitalmanuelabeltran.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex hospitalmanuelabeltran.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: citas.metrosalud.gov.co, tramites.metrosalud.gov.co, www.metrosalud.gov.co, metrosalud.gov.co, intranet.metrosalud.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex metrosalud.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: mail.pastosaludese.gov.co, pastosaludese.gov.co, www.pastosaludese.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex pastosaludese.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex subredcentrooriente.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex subrednorte.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex subredsur.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex subredsuroccidente.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex fomag.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: intranet.antioquia.gov.co, antioquia.gov.co, www.antioquia.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex atlantico.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex bolivar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: www.caldas.gov.co, educacion.caldas.gov.co, mail.caldas.gov.co, caldas.gov.co, tramites.caldas.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex caldas.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: api.casanare.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex casanare.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: intranet.cauca.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cauca.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: educacion.cesar.gov.co, webmail.cesar.gov.co, cesar.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex cesar.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: educacion.cordoba.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: extranet.huila.gov.co, soporte.huila.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.laguajira.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: webmail.magdalena.gov.co, datos.magdalena.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex meta.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex narino.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: soporte.nortedesantander.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex nortedesantander.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.putumayo.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex putumayo.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 7 hosts

Media

Hosts afectados: ftp.quindio.gov.co, turismo.quindio.gov.co, quindio.gov.co, webmail.quindio.gov.co, mail.quindio.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex quindio.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: documentos.sanandres.gov.co, hacienda.sanandres.gov.co, turismo.sanandres.gov.co, webmail.sanandres.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex sanandres.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: salud.santander.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: tolima.gov.co, www.tolima.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex humboldt.org.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: test.iiap.org.co, soporte.iiap.org.co, iiap.org.co, www.iiap.org.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex iiap.org.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex insor.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin SameSite en hosts de Personeria Bogota

Media

intranet.personeriabogota.gov.co y www.personeriabogota.gov.co emiten cookies con Secure y HttpOnly, pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.personeriabucaramanga.gov.co, dev.personeriabucaramanga.gov.co, personeriabucaramanga.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriabucaramanga.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriacali.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.personeriacartagena.gov.co, webmail.personeriacartagena.gov.co, personeriacartagena.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriacartagena.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin SameSite en hosts de Personeria Ibague

Media

webmail.personeriaibague.gov.co y mail.personeriaibague.gov.co emiten cookies con Secure, pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 13 hosts

Media

Hosts afectados: reporting.personeriamedellin.gov.co, contacto.personeriamedellin.gov.co, tramite.personeriamedellin.gov.co, gobernacion.personeriamedellin.gov.co, gis.personeriamedellin.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriamedellin.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: webmail.personeriamonteria.gov.co, ftp.personeriamonteria.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriamonteria.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: soporte.personeriapereira.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.personeriasoacha.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex personeriasoacha.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: webmail.personeriavalledupar.gov.co, cpanel.personeriavalledupar.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex sanatoriocontratacion.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies cookiesession1 sin Secure ni SameSite en multiples subdominios

Media

Apex, cdn, docs y assets setean cookiesession1 con HttpOnly pero sin Secure ni SameSite.

Por qué importa: Sin Secure la cookie viaja en claro si el cliente acepta HTTP (apex no envia HSTS). Sin SameSite es vulnerable a CSRF en flujos posteriores.

Headers de seguridadConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: kactus.areandina.edu.co, proyectos.areandina.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex areandina.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cuc.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex ecci.edu.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: portal.icesi.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: staging.itm.edu.co, api.itm.edu.co, pagos.itm.edu.co, www.itm.edu.co, sso.itm.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex javeriana.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: javerianacali.edu.co, movilidad.javerianacali.edu.co, turismo.javerianacali.edu.co, www.javerianacali.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex poligran.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: reportes.konradlorenz.edu.co, www.konradlorenz.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies con atributos incompletos en hosts de La Salle

Media

apps.lasalle.edu.co sigue afectado por cookies sin atributos completos; www/apex estan mayormente endurecidos y solo conservan un residuo de cookie con atributos incompletos.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.ulibertadores.edu.co, mail.ulibertadores.edu.co, ulibertadores.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex ulibertadores.edu.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: www.pascualbravo.edu.co, intranet.pascualbravo.edu.co, ftp.pascualbravo.edu.co, pascualbravo.edu.co, mercurio.pascualbravo.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.politecnicojic.edu.co, politecnicojic.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex politecnicojic.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: auth.uamerica.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex uamerica.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: uan.edu.co, www.uan.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex uan.edu.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: sig.ucaldas.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ucaldas.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex ucentral.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: www.ucundinamarca.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.udea.edu.co, portal.udea.edu.co, udea.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex udea.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex udem.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: datos.uexternado.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 6 hosts

Media

Hosts afectados: m.ufps.edu.co, sigep.ufps.edu.co, api.ufps.edu.co, presupuesto.ufps.edu.co, www.ufps.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ufps.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: planeacion.ufpso.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: git.uis.edu.co, educacion.uis.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex uis.edu.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: fenix.umariana.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex umariana.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex umb.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookie de intranet UNAB sin SameSite

Media

intranet.unab.edu.co emite una cookie con Secure y HttpOnly, pero sin SameSite; login.unab.edu.co no expone cookies visibles en la revision pasiva.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Cookies sin Secure o SameSite en 8 hosts

Media

Hosts afectados: agenda.unad.edu.co, www.unad.edu.co, intranet.unad.edu.co, app.unad.edu.co, datos.unad.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex unad.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: estadisticas.unal.edu.co, login.unal.edu.co, planeacion.unal.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: sso.unbosque.edu.co, educacion.unbosque.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: apps.uniajc.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex uniajc.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 7 hosts

Media

Hosts afectados: gobierno.uniandes.edu.co, api.uniandes.edu.co, educacion.uniandes.edu.co, contacto.uniandes.edu.co, www.uniandes.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.uniatlantico.edu.co, uniatlantico.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex uniatlantico.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unicartagena.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: portal.unicauca.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unicauca.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 10 hosts

Media

Hosts afectados: comercio.unicesar.edu.co, cultura.unicesar.edu.co, documentos.unicesar.edu.co, planeacion.unicesar.edu.co, proyectos.unicesar.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.unicolmayor.edu.co, unicolmayor.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unicolmayor.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin SameSite en Universidad de Cordoba

Media

www.unicordoba.edu.co y unicordoba.edu.co emiten cookies con Secure, pero sin SameSite.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex unicordoba.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: bi.unillanos.edu.co, sig.unillanos.edu.co, planeacion.unillanos.edu.co, unillanos.edu.co, www.unillanos.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unillanos.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: pagos.unimagdalena.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex uninorte.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies con atributos incompletos en hosts de Unipacifico

Media

api.unipacifico.edu.co carece de SameSite y parcialmente de Secure; www.unipacifico.edu.co tiene SameSite=Lax pero carece de Secure.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unipacifico.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unipamplona.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex unisucre.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 7 hosts

Media

Hosts afectados: planeacion.univalle.edu.co, univalle.edu.co, seguridad.univalle.edu.co, gabinete.univalle.edu.co, www.univalle.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex univalle.edu.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex universidadean.edu.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: pqrs.upb.edu.co, sso.upb.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex upb.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex urosario.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: usco.edu.co, portal.usco.edu.co, www.usco.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex usergioarboleda.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: tesoreria.usta.edu.co, www.usta.edu.co, usta.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex usta.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: ut.edu.co, www.ut.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ut.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex utadeo.edu.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex utb.edu.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 8 hosts

Media

Hosts afectados: presupuesto.utch.edu.co, tramites.utch.edu.co, utch.edu.co, sigep.utch.edu.co, mail.utch.edu.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: www.vicepresidencia.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-02

Certificado wildcard cubre 1 dominios en envigado.gov.co

Media

Wildcards en SAN: *.envigado.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en envigado.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en floridablanca.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en pitalito-huila.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en sanandres.gov.co

Media

Wildcards en SAN: *.sanandres.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en sanandres.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en ftp.metropol.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en amco.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en cardique.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en carsucre.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Certificado wildcard cubre 1 dominios en corantioquia.gov.co

Media

Wildcards en SAN: *.corantioquia.gov.co. Total SAN: 2.

Por qué importa: Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en corantioquia.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en cormacarena.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en cortolima.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

DNSSEC ausente en crautonoma.gov.co

Media

No hay registro DS en zona padre.

Por qué importa: Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-30

Headers de seguridad insuficientes (0/8)

Media

Apex cisa.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: ciac.gov.co: X-Powered-By=PHP/8.1.34; www.ciac.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: ciac.gov.co, www.ciac.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex ciac.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex agenciavirgiliobarco.gov.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.ipse.gov.co: X-Powered-By=PHP/8.0.28; ipse.gov.co: X-Powered-By=PHP/8.0.28.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ipse.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.icfe.gov.co: X-Powered-By=PHP/7.4.9; icfe.gov.co: X-Powered-By=PHP/7.4.9.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex icfe.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.uspec.gov.co: X-Generator=Drupal 10 (https://www.drupal.org); uspec.gov.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex uspec.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 157 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex dermatologia.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex cco.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex fng.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 9 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: estadisticas.fogacoop.gov.co, tramites.fogacoop.gov.co, api.fogacoop.gov.co, fogacoop.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex fogacoop.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex cajahonor.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: itrc.gov.co, www.itrc.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex restituciondetierras.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex jcc.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 8 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: apps.derechodeautor.gov.co: X-Powered-By=ASP.NET; intranet.derechodeautor.gov.co: X-Powered-By=ASP.NET; mail.derechodeautor.gov.co: X-Powered-By=PHP/8.4.22.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex derechodeautor.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex serviciodeempleo.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex alimentosparaaprender.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex fodesep.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex fps.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 157 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.cndj.gov.co, cndj.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex cndj.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex xm.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 5 hosts

Media

Ejemplos: ftp.gensa.com.co: X-Powered-By=PHP/8.3.31; gensa.com.co: X-Powered-By=PHP/8.3.31; admin.gensa.com.co: X-Powered-By=PHP/8.3.31.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex gensa.com.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.gecelca.com.co: X-Powered-By=PHP/8.2.30; gecelca.com.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.urra.com.co: X-Powered-By=PHP/8.1.34; urra.com.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex urra.com.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex 4-72.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex bioenergy.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 10 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex fiduprevisora.com.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.colombiaproductiva.com, colombiaproductiva.com, dev.colombiaproductiva.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: api.innpulsacolombia.com, innpulsacolombia.com, www.innpulsacolombia.com, ftp.innpulsacolombia.com.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.dimar.mil.co: X-Generator=Drupal 10 (https://www.drupal.org); dimar.mil.co: X-Generator=Drupal 10 (https://www.drupal.org).

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: www.dimar.mil.co, dimar.mil.co, app.dimar.mil.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (3/8)

Media

Apex dimar.mil.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex asambleacesar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: asambleanarino.gov.co: X-Powered-By=n/a; www.asambleanarino.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: old.asambleadesantander.gov.co: X-Powered-By=PHP/8.2.30; www.asambleadesantander.gov.co: X-Powered-By=PHP/8.2.30; asambleadesantander.gov.co: X-Powered-By=PHP/8.2.30.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: old.asambleadesantander.gov.co, www.asambleadesantander.gov.co, asambleadesantander.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex asambleadesantander.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex asambleavalledelcauca.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.asambleadebolivar.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: asambleachoco.gov.co: X-Powered-By=PHP/8.3.31; www.asambleachoco.gov.co: X-Powered-By=PHP/8.3.31; mail.asambleachoco.gov.co: X-Powered-By=PHP/8.3.31.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: asambleadelputumayo.gov.co, www.asambleadelputumayo.gov.co, mail.asambleadelputumayo.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex asambleadelputumayo.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex asamblea-cordoba.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: mail.asamblea-atlantico.gov.co: X-Powered-By=PHP/8.4.21; asamblea-atlantico.gov.co: X-Powered-By=PHP/8.4.21; www.asamblea-atlantico.gov.co: X-Powered-By=PHP/8.4.21.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: mail.asamblea-atlantico.gov.co, asamblea-atlantico.gov.co, webmail.asamblea-atlantico.gov.co, www.asamblea-atlantico.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex asamblea-atlantico.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex ambq.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: intranet.concejodecali.gov.co: X-Powered-By=n/a; concejodecali.gov.co: X-Powered-By=n/a; www.concejodecali.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.concejodebarranquilla.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejodebarranquilla.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: mail.concejodebucaramanga.gov.co: X-Powered-By=PHP/8.2.29; www.concejodebucaramanga.gov.co: X-Powered-By=PHP/8.2.29; concejodebucaramanga.gov.co: X-Powered-By=PHP/8.2.29.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 5 hosts

Media

Hosts afectados: mail.concejodebucaramanga.gov.co, ftp.concejodebucaramanga.gov.co, webmail.concejodebucaramanga.gov.co, www.concejodebucaramanga.gov.co, concejodebucaramanga.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex concejodebucaramanga.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejocucuta.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.concejopereira.gov.co, concejopereira.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejopereira.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex concejodepasto.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejodevalledupar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.concejodemonteria.gov.co, concejodemonteria.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (2/8)

Media

Apex concejodemonteria.gov.co solo presenta 2 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 3 hosts

Media

Ejemplos: pqrs.concejodepopayan.gov.co: X-Powered-By=PHP/7.4.33; www.concejodepopayan.gov.co: X-Powered-By=PHP/8.1.34; concejodepopayan.gov.co: X-Powered-By=PHP/8.1.34.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 3 hosts

Media

Hosts afectados: pqrs.concejodepopayan.gov.co, www.concejodepopayan.gov.co, concejodepopayan.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejodepopayan.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex concejodequibdo.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex concejodistritaldecartagena.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (1/8)

Media

Apex personeriadebarranquilla.gov.co solo presenta 1 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: www.contraloriadebolivar.gov.co: X-Powered-By=PHP/7.4.33; contraloriadebolivar.gov.co: X-Powered-By=PHP/7.4.33.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: www.contraloriadebolivar.gov.co, contraloriadebolivar.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriadebolivar.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriadelcaqueta.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 6 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 2 hosts

Media

Hosts afectados: ftp.contraloriaquindio.gov.co, webmail.contraloriaquindio.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 5 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 4 hosts

Media

Hosts afectados: webmail.contraloriasai.gov.co, contraloriasai.gov.co, www.contraloriasai.gov.co, ftp.contraloriasai.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriasai.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 3 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 7 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers de seguridad insuficientes (0/8)

Media

Apex contraloriapereira.gov.co solo presenta 0 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).

Por qué importa: Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 2 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Por qué importa: Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

Divulgación responsableConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: codechoco.gov.co: X-Powered-By=n/a; www.codechoco.gov.co: X-Powered-By=n/a.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Headers exponen versiones de stack en 2 hosts

Media

Ejemplos: coralina.gov.co: X-Powered-By=N/A; www.coralina.gov.co: X-Powered-By=N/A.

Por qué importa: Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

Cookies sin Secure o SameSite en 1 hosts

Media

Hosts afectados: webmail.coralina.gov.co.

Por qué importa: Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.

Headers de seguridadConfianza: verifiedObservado: 2026-05-02

Cronología

Activo

Observado

2026-05-02

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-05-02

CCE: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de relatoria de CCE.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperServicios: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): superservicios.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-06-27

SuperServicios: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: superservicios.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

MinCIT: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: mincit.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

UIAF: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): uiaf.gov.co.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

UIAF: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): uiaf.gov.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSolidaria: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): supersolidaria.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSolidaria: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): supersolidaria.gov.co.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-26

INVIMA: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): invima.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

IDEAM: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): ideam.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Consejo de Estado: portal principal sin endurecimiento de headers

Media

El portal consejodeestado.gov.co responde HTTP 200 sin HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy ni COOP.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNE: sin security.txt detectable

Media

No se detecta un security.txt valido en /.well-known/security.txt ni en /security.txt; ambas rutas devuelven 404 HTML sin campo Contact.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNE: endurecimiento web insuficiente

Media

La portada conserva HSTS y X-Content-Type-Options, pero omite CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy y COOP.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICBF: endurecimiento web insuficiente

Media

La portada mantiene HSTS, X-Frame-Options y X-Content-Type-Options, pero omite CSP, Referrer-Policy, Permissions-Policy y COOP.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICBF: sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de ICBF.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICBF: archivos tecnicos Drupal accesibles

Media

El portal publico responde HTTP 200 para /README.md y /web.config; otros archivos internos como CHANGELOG.txt y README de modulos o temas devuelven 403.

Por qué importa: Archivos tecnicos accesibles facilitan fingerprinting de plataforma y rutas de despliegue. Aunque no contienen secretos, deben bloquearse o retirarse del documento raiz publico.

Divulgación de informaciónConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperFinanciera: sin security.txt detectable

Media

Las rutas estándar /.well-known/security.txt y /security.txt en www.superfinanciera.gov.co devuelven HTTP 500 HTML y no publican un campo Contact válido.

Por qué importa: Un security.txt válido facilita reportes coordinados de vulnerabilidades y reduce fricción para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperFinanciera: endurecimiento web insuficiente

Media

El portal principal publica HSTS, CSP, X-Frame-Options y X-Content-Type-Options, pero la CSP permite unsafe-inline/unsafe-eval y faltan Referrer-Policy, Permissions-Policy y COOP.

Por qué importa: Headers incompletos y CSP permisiva reducen defensa en profundidad frente a inyeccion, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperVigilancia: sin security.txt detectable

Media

Las rutas estándar https://supervigilancia.gov.co/.well-known/security.txt y https://supervigilancia.gov.co/security.txt devuelven HTTP 404 HTML y no exponen un campo Contact válido.

Por qué importa: Un security.txt válido facilita reportes coordinados de vulnerabilidades y reduce fricción para recibir, priorizar y cerrar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperVigilancia: endurecimiento web insuficiente

Media

La portada HTTPS mantiene Strict-Transport-Security, pero omite Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy y Cross-Origin-Opener-Policy.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyección, clickjacking, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCiencias: endurecimiento web insuficiente

Media

La portada conserva HSTS, X-Frame-Options, X-Content-Type-Options y X-XSS-Protection, pero omite Content-Security-Policy, Referrer-Policy, Permissions-Policy y Cross-Origin-Opener-Policy.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyección, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCiencias: sin security.txt detectable

Media

Las rutas estándar https://minciencias.gov.co/.well-known/security.txt y https://minciencias.gov.co/security.txt devuelven HTTP 403/404 HTML y no exponen un campo Contact válido.

Por qué importa: Un security.txt válido facilita reportes coordinados de vulnerabilidades y reduce fricción para recibir, priorizar y cerrar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ejercito: CSP permisiva pese a headers principales presentes

Media

La portada actual alcanza 7/8 controles evaluados: mantiene HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy y X-XSS-Protection, pero omite COOP y la CSP permite unsafe-inline, unsafe-eval y fuentes amplias https:/data:/blob:.

Por qué importa: Una CSP permisiva y la ausencia de aislamiento COOP reducen defensa en profundidad frente a inyecciones, ejecucion de scripts no esperados y exposicion entre contextos del navegador.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ejercito: sin security.txt valido en rutas estandar

Media

/.well-known/security.txt devuelve HTTP 404 y /security.txt retorna una pagina HTML de la aplicacion sin campo Contact valido, por lo que no se detecta un security.txt publico conforme a RFC 9116.

Por qué importa: Un security.txt valido reduce friccion para recibir reportes coordinados de vulnerabilidades y ayuda a priorizar canales de contacto verificables.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ESAP: sin security.txt detectable

Media

Las rutas https://www.esap.edu.co/.well-known/security.txt y https://www.esap.edu.co/security.txt devuelven HTTP 404 HTML sin campo Contact válido RFC 9116.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta la fricción para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ESAP: endurecimiento web insuficiente

Media

La portada HTTPS mantiene HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy, pero la CSP se limita a upgrade-insecure-requests y falta Cross-Origin-Opener-Policy.

Por qué importa: Una CSP mínima no controla fuentes de scripts, objetos ni ancestros de frame; los headers incompletos reducen defensa en profundidad frente a inyección y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de esap.edu.co totalmente fuera de Colombia

Media

La zona esap.edu.co sigue delegada completamente a Google Cloud DNS: ns-cloud-c1/c2/c3/c4.googledomains.com.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-04-30

Cronología

Activo

Observado

2026-04-30

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-04-30

ANM: endurecimiento web insuficiente

Media

El portal conserva varios headers defensivos, pero omite Content-Security-Policy y Cross-Origin-Opener-Policy; ademas X-Frame-Options usa ALLOW-FROM, directiva obsoleta en navegadores modernos.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking moderno, filtrado de informacion y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANM: Sin security.txt detectable

Media

ANM no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

datos.gov.co: CSP y headers de navegador permisivos

Media

El portal publica CSP, X-Frame-Options, X-Content-Type-Options y Referrer-Policy, pero omite HSTS/Permissions-Policy/COOP; la CSP permite frame-ancestors http:/https:, unsafe-inline, unsafe-eval y conexiones http.

Por qué importa: Una CSP permisiva y headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking, mezcla de contenido, filtrado de referencias y abuso de capacidades del navegador.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

datos.gov.co: sin security.txt detectable

Media

Las rutas /.well-known/security.txt y /security.txt devuelven 404 HTML sin campo Contact valido.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FAC: redireccion HTTPS incluye salto intermedio por HTTP

Media

GET https://fac.mil.co/ devuelve 301 a http://www.fac.mil.co/ y luego 301 a https://www.fac.mil.co:443/. La navegacion iniciada por HTTPS pasa por un salto HTTP intermedio.

Por qué importa: Un salto HTTP dentro de una cadena iniciada por HTTPS debilita el primer contacto seguro: puede exponer rutas o permitir manipulacion si el cliente no tiene una politica HSTS previa aplicable al host destino.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de fac.mil.co totalmente fuera de Colombia

Media

La delegacion NS actual de fac.mil.co usa AWS Route 53: ns-48.awsdns-06.com, ns-769.awsdns-32.net, ns-1298.awsdns-34.org y ns-1560.awsdns-03.co.uk.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: HTTP no redirige obligatoriamente a HTTPS

Media

http://cra.gov.co/ responde 200 OK directamente, sin redirigir a HTTPS, y emite cookiesession1 en la respuesta HTTP.

Por qué importa: Permitir navegación HTTP mantiene una ruta degradada para visitantes y automatizaciones. Si además se emiten cookies por HTTP, se amplía la exposición de sesión y rastreo en tránsito.

Configuración SSLA05:2021 — Security MisconfigurationConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: CSP ausente y X-Frame-Options obsoleto

Media

cra.gov.co mantiene bajo endurecimiento de navegador: no publica Content-Security-Policy, Referrer-Policy, Permissions-Policy, HSTS ni COOP; además X-Frame-Options usa ALLOW-FROM http://192.168.100.24/, directiva obsoleta que filtra un origen interno.

Por qué importa: La ausencia de CSP y políticas modernas reduce defensas contra inyección y fuga de contexto. Un X-Frame-Options obsoleto con una IP interna sugiere configuración heredada y expone detalles de arquitectura.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: Sin security.txt detectable

Media

/.well-known/security.txt y /security.txt responden 404 en cra.gov.co al 2026-06-27; no se observa Contact público estándar.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA: Panel administrativo detectable

Media

https://cra.gov.co/user/login responde 200 y expone el flujo de autenticación Drupal; /admin/ responde 403, confirmando la ruta administrativa aunque restringida.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: headers de navegador incompletos

Media

La portada responde 200 con X-Content-Type-Options, pero no publica Content-Security-Policy, X-Frame-Options, Referrer-Policy, Permissions-Policy ni COOP; ademas HSTS aparece con max-age=0, lo que no fuerza persistencia efectiva.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: sin security.txt detectable

Media

Las rutas https://defensacivil.gov.co/.well-known/security.txt y https://defensacivil.gov.co/security.txt devuelven 404 al 2026-06-27, sin Contact publico estandar para divulgacion responsable.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensa Civil: scripts externos sin Subresource Integrity

Media

La portada carga scripts externos sin atributo integrity, incluyendo dependencias de analitica, traduccion y CDN.

Por qué importa: Scripts de terceros sin SRI aumentan el riesgo de que una dependencia o CDN comprometido inyecte codigo en el navegador ciudadano.

SRI ausenteConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de defensacivil.gov.co operado por Cloudflare fuera de Colombia

Media

Los NS vigentes son marjory.ns.cloudflare.com y will.ns.cloudflare.com; el apex resuelve a direcciones Cloudflare 104.21.52.115 y 172.67.198.125. Debe evaluarse la exposicion de metadatos DNS frente a obligaciones de tratamiento de datos.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: headers de navegador incompletos

Media

La portada en https://www.ani.gov.co/ responde 200 con X-Content-Type-Options y Permissions-Policy limitada, pero no publica Content-Security-Policy, X-Frame-Options, Referrer-Policy, HSTS ni COOP.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: scripts externos sin Subresource Integrity

Media

La portada carga 15 scripts evaluados y ninguno incluye atributo integrity; entre los externos estan jQuery 3.1.1 desde Google CDN, jQuery Migrate, Bootstrap 3.1.1 desde jsDelivr, Google Tag Manager y Google Translate.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI rastrea navegación con Google Analytics y Facebook Pixel

Media

La portada de www.ani.gov.co carga terceros de analitica/rastreo: Google Tag Manager/Analytics y Facebook SDK/Pixel, observados en la captura pasiva del 2026-06-27.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de ani.gov.co operado por Cloudflare fuera de Colombia

Media

Los NS vigentes son chuck.ns.cloudflare.com y sandy.ns.cloudflare.com; el apex resuelve a direcciones Cloudflare 104.21.34.155 y 172.67.205.232. Debe evaluarse la exposicion de metadatos DNS frente a obligaciones de tratamiento de datos.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: sin security.txt válido detectable

Media

ANI no expone security.txt valido con Contact en las rutas estandar.

Por qué importa: security.txt facilita reportes coordinados y reduce friccion de divulgacion responsable.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANI: formulario Drupal de autenticación detectable

Media

La ruta /user/login expone un formulario Drupal de autenticacion.

Por qué importa: Los formularios de autenticacion publicos incrementan superficie de enumeracion y fuerza bruta.

Panel administrativo expuestoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CGN: headers de navegador incompletos

Media

La portada conserva X-Frame-Options y X-Content-Type-Options, pero omite Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security y Cross-Origin-Opener-Policy.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking, filtrado de referencias y aislamiento de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CGN: sin security.txt valido detectable

Media

Las rutas https://contaduria.gov.co/.well-known/security.txt y /security.txt devuelven 404 HTML sin campo Contact valido; las rutas HTTP agotan tiempo.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FOGAFIN: CSP permisiva

Media

La portada publica CSP y los headers principales, pero script-src conserva unsafe-inline y unsafe-eval junto con multiples terceros permitidos.

Por qué importa: Una CSP permisiva limita la contencion ante XSS e inyeccion de contenido porque mantiene ejecucion inline/eval y origenes amplios.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FOGAFIN: sin security.txt valido detectable

Media

Las rutas https://www.fogafin.gov.co/.well-known/security.txt y /security.txt devuelven 404 HTML sin campo Contact valido.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FOGAFIN: formulario Drupal de autenticacion visible

Media

La ruta https://www.fogafin.gov.co/user/login responde 200 y expone la pagina de autenticacion Drupal.

Por qué importa: Los puntos de autenticacion publicos deben contar con controles de endurecimiento, monitoreo y proteccion contra abuso automatizado.

Panel administrativo expuestoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinSalud: CSP permisiva

Media

La CSP de MinSalud existe, pero permite unsafe-inline, unsafe-eval y multiples terceros amplios; el portal conserva otros headers defensivos y queda como hallazgo especifico de CSP permisiva.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: Endurecimiento web insuficiente

Media

AUNAP responde sin CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy ni COOP; headersScore 0/8 al 2026-06-27.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: Scripts externos sin SRI

Media

La portada de AUNAP carga scripts externos activos sin integrity, incluyendo dependencias de CDN, Facebook SDK/Twitter widgets y otros terceros.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: Terceros de analitica/rastreo

Media

La portada de AUNAP carga Facebook Pixel/SDK desde connect.facebook.net; requiere validar base legal, minimizacion y consentimiento.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de aunap.gov.co totalmente fuera de Colombia

Media

NS vigentes operan en Cloudflare: dorthy.ns.cloudflare.com y renan.ns.cloudflare.com.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNS de mindeporte.gov.co totalmente fuera de Colombia

Media

NS vigentes en AWS: ns-1689.awsdns-19.co.uk, ns-1489.awsdns-58.org, ns-987.awsdns-59.net y ns-276.awsdns-34.com.

Por qué importa: Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Datos personalesConfianza: verifiedObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinSalud: sin security.txt valido detectable

Media

MinSalud no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: XML-RPC de WordPress visible publicamente

Media

AUNAP expone el endpoint XML-RPC de WordPress en el portal principal.

Por qué importa: XML-RPC expuesto puede ampliar superficie de abuso automatizado, enumeracion o fuerza bruta si no existe una necesidad funcional y controles compensatorios.

Configuración expuestaConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AUNAP: sin security.txt valido detectable

Media

AUNAP no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinDeporte: sin security.txt valido detectable

Media

MinDeporte no publica un security.txt valido detectable en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinDeporte: CSP permisiva

Media

La CSP de MinDeporte existe, pero es demasiado permisiva para contener inyeccion de contenido o abuso de scripts.

Por qué importa: Una CSP permisiva limita la contencion ante XSS e inyeccion de contenido porque mantiene ejecucion inline/eval y origenes amplios.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICFES: endurecimiento web insuficiente

Media

El portal de ICFES conserva endurecimiento de navegador insuficiente: no publica CSP y mantiene pocos headers defensivos.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICFES: sin security.txt valido detectable

Media

ICFES no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DANE: CSP permisiva

Media

La CSP de DANE existe, pero es permisiva y reduce su efectividad como control de navegador.

Por qué importa: Una CSP permisiva limita la contencion ante XSS e inyeccion de contenido porque mantiene ejecucion inline/eval y origenes amplios.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DANE: sin security.txt valido detectable

Media

DANE no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinVivienda: sin security.txt valido detectable

Media

MinVivienda no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinVivienda: Panel administrativo detectable

Media

/user/login devuelve formulario Drupal user-login-form con campos de usuario y contraseña; el punto de autenticacion sigue visible publicamente.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SIC: CSP ausente en la portada

Media

La portada de SIC no publica Content-Security-Policy, aunque expone otros headers defensivos.

Por qué importa: Sin CSP efectiva, el navegador tiene menos contencion frente a inyeccion de contenido o abuso de scripts si aparece una falla XSS.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SIC: sin security.txt valido detectable

Media

SIC no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DIAN: headers defensivos incompletos

Media

La portada de DIAN mantiene endurecimiento de navegador bajo: publica HSTS, pero omite controles clave como CSP.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking, filtrado de referencias y abuso de capacidades del navegador.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DIAN: sin security.txt valido detectable

Media

DIAN no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinEnergia: sin security.txt valido detectable

Media

MinEnergia no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICA: sin security.txt valido detectable

Media

ICA no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

INDUMIL: CSP ausente en la portada

Media

La portada de INDUMIL publica varios headers defensivos, pero no una Content-Security-Policy efectiva.

Por qué importa: Sin CSP efectiva, el navegador tiene menos contencion frente a inyeccion de contenido o abuso de scripts si aparece una falla XSS.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

INDUMIL: sin security.txt valido detectable

Media

INDUMIL no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Procuraduria: headers defensivos incompletos

Media

La portada de Procuraduria mantiene endurecimiento de navegador bajo; su CSP se limita a frame-ancestors y faltan controles clave.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, clickjacking residual, filtrado de referencias y abuso de capacidades del navegador.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Procuraduria: sin security.txt valido detectable

Media

Procuraduria no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNP: headers defensivos ausentes en la portada

Media

La portada de UNP responde 200, pero no publica controles basicos de endurecimiento del navegador.

Por qué importa: Headers defensivos reducen impacto de inyeccion, clickjacking, filtrado de referencias y abuso de capacidades del navegador.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNP: sin security.txt valido detectable

Media

UNP no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UPRA: sin security.txt valido detectable

Media

UPRA no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Aerocivil: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): aerocivil.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Aerocivil: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: aerocivil.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AGN: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): archivogeneral.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AGN: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: archivogeneral.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

AGROSAVIA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: agrosavia.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Alc. Apartado: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): apartado-antioquia.gov.co, www.apartado-antioquia.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Apartado: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): apartado-antioquia.gov.co, www.apartado-antioquia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Apartado: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): apartado-antioquia.gov.co, www.apartado-antioquia.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Arauca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): arauca-arauca.gov.co, www.arauca-arauca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Arauca: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): arauca-arauca.gov.co, www.arauca-arauca.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Armenia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): armenia.gov.co, ftp.armenia.gov.co, intranet.armenia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Barrancabermeja: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: sgd.barrancabermeja.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alc. Bello: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: bello.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Bello: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): cultura.bello.gov.co, www.bello.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Bello: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.bello.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Bogota D.C.: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 4 host(s): bogota.gov.co, dev.bogota.gov.co, mapas.bogota.gov.co, www.bogota.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Bogota D.C.: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 4 host(s): bogota.gov.co, dev.bogota.gov.co, mapas.bogota.gov.co, www.bogota.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Bucaramanga: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): bucaramanga.gov.co, www.bucaramanga.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Bucaramanga: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): bucaramanga.gov.co, www.bucaramanga.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Cali: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): datos.cali.gov.co, intranet.cali.gov.co, www.cali.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Cali: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): datos.cali.gov.co, intranet.cali.gov.co, www.cali.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Cucuta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): catastro.cucuta.gov.co, cucuta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Envigado: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: movilidad.envigado.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alc. Floridablanca: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: mail.floridablanca.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alc. Galapa: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): galapa-atlantico.gov.co, www.galapa-atlantico.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Galapa: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): galapa-atlantico.gov.co, www.galapa-atlantico.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Girardot: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): girardot-cundinamarca.gov.co, www.girardot-cundinamarca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Girardot: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): girardot-cundinamarca.gov.co, www.girardot-cundinamarca.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Girón: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): giron-santander.gov.co, www.giron-santander.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Girón: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): giron-santander.gov.co, www.giron-santander.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Ibague: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): ibague.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Ibague: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): ibague.gov.co, www.ibague.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Itagui: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.itagui.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Itagui: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.itagui.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Jamundí: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): jamundi.gov.co, www.jamundi.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Jamundí: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): jamundi.gov.co, www.jamundi.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Manizales: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.manizales.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Manizales: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.manizales.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Mitu: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.mitu-vaupes.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Mitu: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.mitu-vaupes.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Mocoa: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.mocoa-putumayo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Mocoa: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.mocoa-putumayo.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Monteria: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): monteria.gov.co, www.monteria.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Monteria: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): monteria.gov.co, www.monteria.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Monteria: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): monteria.gov.co, www.monteria.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Sahagún: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.sahagun-cordoba.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Sahagún: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.sahagun-cordoba.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Palmira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.palmira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Palmira: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.palmira.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Pasto: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): tramites.pasto.gov.co, www.pasto.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pasto: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): tramites.pasto.gov.co, www.pasto.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pereira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): pereira.gov.co, www.pereira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pereira: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): pereira.gov.co, www.pereira.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pitalito: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): pitalito-huila.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Alc. Popayan: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): pqrs.popayan.gov.co, www.popayan.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Popayan: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.popayan.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Pto. Carreno: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): puertocarreno-vichada.gov.co, www.puertocarreno-vichada.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Pto. Carreno: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): puertocarreno-vichada.gov.co, www.puertocarreno-vichada.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Quibdo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): quibdo-choco.gov.co, www.quibdo-choco.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Quibdo: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): quibdo-choco.gov.co, www.quibdo-choco.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Riohacha: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.riohacha-laguajira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Riohacha: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.riohacha-laguajira.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Sabanalarga: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s) verificados: sabanalarga-atlantico.gov.co, www.sabanalarga-atlantico.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alc. Sabaneta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): cultura.sabaneta.gov.co, qa.sabaneta.gov.co, www.sabaneta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Sabaneta: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): cultura.sabaneta.gov.co, www.sabaneta.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. S. Jose Guaviare: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.sanjosedelguaviare-guaviare.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. S. Jose Guaviare: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.sanjosedelguaviare-guaviare.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. S. Jose Guaviare: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.sanjosedelguaviare-guaviare.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Santa Marta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.santamarta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Santa Marta: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.santamarta.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Sincelejo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): alcaldiadesincelejo.gov.co, www.alcaldiadesincelejo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Sincelejo: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): alcaldiadesincelejo.gov.co, www.alcaldiadesincelejo.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Alc. Turbo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.turbo-antioquia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Turbo: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.turbo-antioquia.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alc. Villavicencio: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): villavicencio.gov.co, www.villavicencio.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

AM Centro Occidente: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: ftp.amco.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

andje: endurecimiento web insuficiente

Media

La portada publica HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy, pero omite CSP y COOP.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

andje: sin security.txt valido detectable

Media

ANDJE no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANE: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): ane.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANE: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: ane.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANH: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): anh.gov.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANH: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: anh.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANLA: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.anla.gov.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANSV: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: ansv.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ANSV: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): ansv.gov.co.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

APC-Colombia: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): apccolombia.gov.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

APC-Colombia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: apccolombia.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Armada: Sin security.txt detectable

Media

No se detecto security.txt publico valido en el portal canonico www.armada.mil.co; las rutas estandar respondieron sin campos Contact validos.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Armada: Panel administrativo detectable

Media

La ruta publica de inicio de sesion del CMS sigue accesible en el portal canonico; no se intento autenticacion.

Por qué importa: Los formularios administrativos publicados aumentan superficie de ataque y deben limitarse o protegerse con controles adicionales.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ARN: Sin security.txt detectable

Media

ARN no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ART: Endurecimiento web insuficiente

Media

ART mantiene endurecimiento incompleto de headers en el portal publico.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ART: HTTP no fuerza redireccion a HTTPS

Media

ART no fuerza redireccion de HTTP a HTTPS en el dominio principal.

Por qué importa: Forzar HTTPS reduce exposicion a degradacion de transporte y evita que usuarios permanezcan en una ruta HTTP no protegida.

Configuración SSLConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ART: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: renovacionterritorio.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Amazonas: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-amazonas.gov.co, www.asamblea-amazonas.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Arauca: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asambleadepartamentodearauca.gov.co, www.asambleadepartamentodearauca.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Caqueta: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-caqueta.gov.co, www.asamblea-caqueta.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Casanare: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-casanare.gov.co, www.asamblea-casanare.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Guajira: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-laguajira.gov.co, www.asamblea-laguajira.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Magdalena: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-magdalena.gov.co, www.asamblea-magdalena.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Narino: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): ftp.asambleanarino.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Narino: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asambleanarino.gov.co, ftp.asambleanarino.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Norte De Santander: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-nortedesantander.gov.co, www.asamblea-nortedesantander.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Quindio: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblea-quindio.gov.co, www.asamblea-quindio.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Asamblea Risaralda: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: asamblearisaralda.gov.co, www.asamblearisaralda.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Auditoria General: Endurecimiento web insuficiente

Media

El portal principal conserva headers defensivos parciales, pero omite controles clave de endurecimiento del navegador.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de informacion de referencia, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Auditoria General: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de Auditoria General.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Banco Agrario: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.bancoagrario.gov.co. Controles ausentes: Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Banco Agrario: sin security.txt valido detectable

Media

Banco Agrario no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Banco Agrario: formulario Drupal de inicio de sesion expuesto

Media

Banco Agrario mantiene accesible publicamente una ruta de autenticacion Drupal en el portal principal.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Banco Agrario: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.bancoagrario.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Banco de la Republica: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): banrep.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

BANCOLDEX: CSP permisiva

Media

El endurecimiento de headers sigue debil en 1 host(s): bancoldex.com.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

BANCOLDEX: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: bancoldex.com.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

BANCOLDEX: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): bancoldex.com.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

BANCOLDEX: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): bancoldex.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Caja Honor: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: cajahonor.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Camara: Sin security.txt detectable

Media

Camara de Representantes no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Corpoboyaca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): playablanca.corpoboyaca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpoboyaca: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): playablanca.corpoboyaca.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CARDIQUE: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 3 host(s) verificados: abierto.cardique.gov.co, abiertos.cardique.gov.co, admin.cardique.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

CARSUCRE: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: admin.carsucre.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

CDA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): cda.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CDMB: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cdmb.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CDMB: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.cdmb.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CODECHOCÓ: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: codechoco.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CORALINA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: coralina.gov.co, ftp.coralina.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Corantioquia: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s) verificados: gis.corantioquia.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Cormacarena: Endurecimiento web insuficiente

Media

Cormacarena mantiene hosts publicos con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Cormagdalena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.cormagdalena.gov.co, www.cormagdalena.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpochivor: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.corpochivor.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CORPOMOJANA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.corpomojana.gov.co, www.corpomojana.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpoorinoquia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): corporinoquia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Corpouraba: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): corpouraba.gov.co, mail.corpouraba.gov.co, www.corpouraba.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Corpouraba: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): corpouraba.gov.co, mail.corpouraba.gov.co, www.corpouraba.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Cortolima: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): api-expediete-dev.tramites.cortolima.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CRA Atlantico: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: cp.crautonoma.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

CRQ: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.crq.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CRQ: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.crq.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CSB: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): carcsb.gov.co, www.carcsb.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CSB: HTTP no fuerza redireccion a HTTPS

Media

CSB no fuerza redireccion de HTTP a HTTPS en el dominio principal.

Por qué importa: Forzar HTTPS reduce exposicion a degradacion de transporte y evita que usuarios permanezcan en rutas HTTP no protegidas.

Configuración SSLConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

CSB: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: carcsb.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CSB: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.carcsb.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CSB: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.carcsb.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CVC: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): aguaydesarrollosostenible.cvc.gov.co, catalogobiblioteca-admin.cvc.gov.co, catalogobiblioteca.cvc.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CVC: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 5 host(s): aguaydesarrollosostenible.cvc.gov.co, catalogobiblioteca-admin.cvc.gov.co, catalogobiblioteca.cvc.gov.co, cvc.gov.co, www.cvc.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EPA Cartagena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): epacartagena.gov.co, www.epacartagena.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EPA Cartagena: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): epacartagena.gov.co, www.epacartagena.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

SDA Bogota: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): ambientebogota.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

SDA Bogota: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): ambientebogota.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CASUR: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.casur.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CASUR: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.casur.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Cafam: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cafam.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Combarranquilla: HTTP no fuerza redireccion a HTTPS

Media

HTTPS/TLS still fails for 1 host(s): extranet.combarranquilla.com.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfacauca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): intranet.comfacauca.com, portal.comfacauca.com, www.comfacauca.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfacauca: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.comfacauca.com.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfama: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): cultura.comfama.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Comfama: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): cultura.comfama.com.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Comfenalco Valle: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 4 host(s): comfenalcovalle.com.co, ftp.comfenalcovalle.com.co, test.comfenalcovalle.com.co, www.comfenalcovalle.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Comfenalco Valle: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 4 host(s): comfenalcovalle.com.co, ftp.comfenalcovalle.com.co, test.comfenalcovalle.com.co, www.comfenalcovalle.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CCO: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cco.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CCO: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.cco.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

CIAC: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: ciac.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CISA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: cisa.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNMH: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.centrodememoriahistorica.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CNMH: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.centrodememoriahistorica.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

CNSC: endurecimiento web insuficiente

Media

El portal principal conserva headers defensivos parciales, pero omite controles clave de endurecimiento del navegador.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de informacion de referencia, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CNSC: Sin security.txt detectable

Media

CNSC no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Coljuegos: Endurecimiento web insuficiente

Media

El portal coljuegos.gov.co mantiene endurecimiento web insuficiente: la respuesta raiz no presenta HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy ni COOP.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Coljuegos: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: coljuegos.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colombia Productiva: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: colombiaproductiva.com.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Bajo puntaje de headers en fingerprint

Media

El endurecimiento de headers sigue debil en 1 host(s): colpensiones.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Sin security.txt detectable

Media

Colpensiones no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): colpensiones.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colpensiones: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): colpensiones.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Concejo Barranquilla: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: concejodebarranquilla.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Concejo Bucaramanga: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: concejodebucaramanga.gov.co, ftp.concejodebucaramanga.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Concejo Neiva: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: concejodeneiva.gov.co, www.concejodeneiva.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Concejo Pereira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): concejopereira.gov.co, www.concejopereira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Concejo Pereira: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): concejopereira.gov.co, www.concejopereira.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Concejo Santiago De Cali: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: apps.concejodecali.gov.co, concejodecali.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Consejo de Estado: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: consejodeestado.gov.co, samai.consejodeestado.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Contraloria: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.contraloria.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloria: sin security.txt valido detectable

Media

Contraloria no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Corte Constitucional: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: corteconstitucional.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Corte Suprema: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): cortesuprema.gov.co. Controles ausentes: Content-Security-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Corte Suprema: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): consultaprovidenciasbk.cortesuprema.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Corte Suprema: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: consultaprovidenciasbk.cortesuprema.gov.co, cortesuprema.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

CRC: sin security.txt valido detectable

Media

CRC no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CREG: CSP permisiva

Media

El endurecimiento de headers sigue debil en 1 host(s): creg.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CREG: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: creg.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Amazonas: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloria-amazonas.gov.co, www.contraloria-amazonas.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Arauca: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): contraloriaarauca.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Caldas: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloriageneraldecaldas.gov.co, www.contraloriageneraldecaldas.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Casanare: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: contraloriacasanare.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Contraloría Choco: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: api.contraloria-choco.gov.co, contraloria-choco.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Guainia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloria-guainia.gov.co, www.contraloria-guainia.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Huila: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): contraloriahuila.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Ibague: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: contraloriaibague.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Monteria: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloriamonteria.gov.co, www.contraloriamonteria.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Neiva: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contralorianeiva.gov.co, www.contralorianeiva.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Norte De Santander: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: contraloriands.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Santander: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): contraloriasantander.gov.co, ftp.contraloriasantander.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Strict-Transport-Security, clickjacking protection.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Contraloría Valledupar: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloriavalledupar.gov.co, www.contraloriavalledupar.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Vaupes: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: contraloria-vaupes.gov.co, www.contraloria-vaupes.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Contraloría Vichada: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): ftp.contraloriavichada.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Funcion Publica: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: funcionpublica.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensoria: CSP permisiva

Media

La CSP de Defensoria existe, pero es permisiva y reduce su efectividad como control de navegador.

Por qué importa: Una CSP permisiva limita la contencion ante XSS e inyeccion de contenido porque mantiene ejecucion inline/eval y origenes amplios.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Defensoria: sin security.txt valido detectable

Media

Defensoria no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNDA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.derechodeautor.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

DNDA: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.derechodeautor.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Dist. Turbo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.turbo-antioquia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Dist. Turbo: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.turbo-antioquia.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Alcaldia Cartagena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): cartagena.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Alcaldia Cartagena: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): cartagena.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

DNI: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): mail.dni.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

DNP: Endurecimiento web insuficiente

Media

DNP mantiene controles de headers de navegador incompletos en el portal principal.

Por qué importa: Completar headers de navegador reduce superficie para abuso de capacidades, aislamiento de contexto y filtrado entre origenes.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DNP: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: dnp.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DPS: XML-RPC habilitado

Media

XML-RPC sigue visible en 1 host(s) verificados: prosperidadsocial.gov.co.

Por qué importa: Interfaces heredadas o innecesarias expuestas amplian superficie de abuso automatizado y requieren endurecimiento.

Configuración expuestaConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

DPS: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): prosperidadsocial.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

DPS: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: prosperidadsocial.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ecopetrol: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): ecopetrol.com.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ecopetrol: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: ecopetrol.com.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ecopetrol: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): ecopetrol.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Ecopetrol: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): ecopetrol.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

EMCALI: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.emcali.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EPM: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.epm.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

EPM: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.epm.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Metro Medellin: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): civica.metrodemedellin.gov.co, innovacion.metrodemedellin.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Metro Medellin: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): civica.metrodemedellin.gov.co, metrodemedellin.gov.co, www.metrodemedellin.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Transcaribe: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): transcaribe.gov.co, www.transcaribe.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Transcaribe: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): transcaribe.gov.co, www.transcaribe.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

TransMilenio: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.transmilenio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

TransMilenio: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.transmilenio.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ENTerritorio: Sin security.txt detectable

Media

ENTerritorio no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Cajacopi EPS: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): api.cajacopieps.com. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Capital Salud: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.capitalsalud.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Capital Salud: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.capitalsalud.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Famisanar EPS: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.famisanar.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Famisanar EPS: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.famisanar.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Nueva EPS: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): app.nuevaeps.com.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Salud Total EPS: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): mail.saludtotal.com.co. Controles ausentes: Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE Federico Lleras: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): hflleras.gov.co, www.hflleras.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Federico Lleras: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): hflleras.gov.co, www.hflleras.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE H. General Medellín: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): movilidad.hgm.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE H. Mental Antioquia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.homo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE San Rafael Tunja: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: citas.hospitalsanrafaeltunja.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE H.U. Hernando Moncaleano: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): ftp.hospitalneiva.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE H.U. Hernando Moncaleano: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): ftp.hospitalneiva.gov.co, mail.hospitalneiva.gov.co, www.hospitalneiva.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE H.U. Samaritana: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): citas.hus.org.co, hus.org.co, www.hus.org.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE H.U. Santander: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: accesowifi.hus.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE H.U. Valle: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): citas.huv.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE IMSALUD: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.imsalud.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE ISABU: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): isabu.gov.co, mail.isabu.gov.co, www.isabu.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE ISABU: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): isabu.gov.co, www.isabu.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Metrosalud: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: citas.metrosalud.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ESE Pasto Salud: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.pastosaludese.gov.co, www.pastosaludese.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE Pasto Salud: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): mail.pastosaludese.gov.co, www.pastosaludese.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE Subred Norte: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.subrednorte.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE Subred Norte: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.subrednorte.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ESE Subred Sur: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.subredsur.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ESE Subred Sur: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.subredsur.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Esenttia: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): abierto.esenttia.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Esenttia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: abierto.esenttia.co, abiertos.esenttia.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FINDETER: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): findeter.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FNA: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): fna.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FNA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: fna.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FNG: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: fng.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FOGACOOP: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.fogacoop.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

FOGACOOP: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.fogacoop.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Fondo Adaptacion: Endurecimiento web insuficiente

Media

Fondo Adaptacion mantiene multiples servicios publicos con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

FONPRECON: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.fonprecon.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

FONPRECON: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.fonprecon.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

FOPEP: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): abierto.fopep.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FPS: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 2 host(s) verificados: app.fps.gov.co, fps.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FAC: CSP ausente

Media

El portal actual tiene 6/8 controles de headers, pero sigue sin Content-Security-Policy efectiva en https://www.fac.mil.co/.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

FAC: Sin security.txt detectable

Media

/.well-known/security.txt y /security.txt redirigen a www.fac.mil.co y devuelven 404 sin Contact al 2026-06-27.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

GENSA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.gensa.com.co, www.gensa.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Bolivar: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): bolivar.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Gob. Bolivar: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): bolivar.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Gob. Caldas: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): caldas.gov.co, educacion.caldas.gov.co, www.caldas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Caldas: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): educacion.caldas.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Cauca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cauca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cauca: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.cauca.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cesar: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): educacion.cesar.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Choco: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): choco.gov.co, www.choco.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Choco: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): choco.gov.co, www.choco.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Cordoba: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cordoba.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cordoba: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.cordoba.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Cundinamarca: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): academiaderechoshumanos.cundinamarca.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Gob. Huila: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): huila.gov.co, www.huila.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Huila: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): huila.gov.co, www.huila.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. La Guajira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.laguajira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Magdalena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): datos.magdalena.gov.co, files.magdalena.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. N. Santander: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): nortedesantander.gov.co, www.nortedesantander.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Putumayo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.putumayo.gov.co, putumayo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Gob. Quindio: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.quindio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Quindio: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.quindio.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Risaralda: Endurecimiento web insuficiente

Media

Gob. Risaralda mantiene subdominios publicos con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Gob. Santander: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): intranet.santander.gov.co, santander.gov.co, www.santander.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Santander: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): santander.gov.co, www.santander.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Gob. Valle: Endurecimiento web insuficiente

Media

Gob. Valle mantiene al menos un subdominio publico con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

gov.co: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

gov.co: Sin security.txt detectable

Media

GOV.CO no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Hospital Militar: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): ftp.hospitalmilitar.gov.co, mail.hospitalmilitar.gov.co, www.hospitalmilitar.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Hospital Militar: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): ftp.hospitalmilitar.gov.co, mail.hospitalmilitar.gov.co, www.hospitalmilitar.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Humboldt: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): humboldt.org.co, www.humboldt.org.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Humboldt: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): humboldt.org.co, www.humboldt.org.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

ICANH: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): icanh.gov.co. Controles ausentes: Content-Security-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ICANH: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: icanh.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

ICETEX: endurecimiento de headers insuficiente en www.icetex.gov.co

Media

El portal www.icetex.gov.co respondió el 2026-06-27 sin controles defensivos clave en headers HTTP: Content-Security-Policy, Referrer-Policy, Permissions-Policy y Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyección, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

IDEAM: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de IDEAM.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

IGAC: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: igac.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

IIAP: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.iiap.org.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

IIAP: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.iiap.org.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Imprenta Nacional: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): imprenta.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

imprenta: sin security.txt valido detectable

Media

Imprenta Nacional no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

INCI: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.inci.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INCI: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.inci.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INCI: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.inci.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INSOR: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): insor.gov.co, test.insor.gov.co, www.insor.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INSOR: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): insor.gov.co, test.insor.gov.co, www.insor.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

INVIAS: Sin security.txt detectable

Media

INVIAS no publica un security.txt válido en las rutas estándar; las solicitudes terminan en una página HTML de error sin Contact.

Por qué importa: Sin un canal estándar de divulgación responsable, reportes legítimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

INVIMA: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de INVIMA.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

JEP: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: jep.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Medicina Legal: endurecimiento web insuficiente

Media

El portal principal conserva headers defensivos parciales, pero omite controles clave de endurecimiento del navegador.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de informacion de referencia, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Medicina Legal: sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de Medicina Legal.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Migracion Colombia: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): migracioncolombia.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Migracion Colombia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: migracioncolombia.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinAgricultura: headers de navegador incompletos

Media

El portal de MinAgricultura mantiene headers defensivos parciales, pero omite controles clave de endurecimiento del navegador.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de referencias, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinAgricultura: sin security.txt valido detectable

Media

MinAgricultura no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinAmbiente: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.minambiente.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

min-ambiente: sin security.txt valido detectable

Media

MinAmbiente no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCultura: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): mincultura.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinCultura: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: mincultura.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinDefensa: Sin security.txt detectable

Media

No se detecto security.txt publico valido en el portal canonico www.mindefensa.gov.co; las rutas estandar devolvieron pagina de error sin Contact valido.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinEducacion: endurecimiento web incompleto en respuesta publica

Media

La respuesta publica de MinEducacion mantiene endurecimiento web incompleto: faltan HSTS, Referrer-Policy y Permissions-Policy.

Por qué importa: Headers de seguridad incompletos reducen defensas del navegador contra filtrado de contexto, degradacion de transporte y abuso de capacidades del navegador.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinHacienda: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.minhacienda.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinHacienda: Sin security.txt detectable

Media

No se detecto security.txt publico valido en las rutas estandar del portal canonico; las respuestas no contienen campos Contact validos.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinIgualdad: Endurecimiento web insuficiente

Media

MinIgualdad mantiene controles de headers de navegador incompletos en el portal principal.

Por qué importa: Completar headers de navegador reduce superficie para abuso de capacidades y mejora aislamiento del contexto web institucional.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinIgualdad: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: minigualdadyequidad.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinInterior: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.mininterior.gov.co. Controles ausentes: Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinInterior: sin security.txt valido detectable

Media

MinInterior no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinJusticia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: minjusticia.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinEnergia: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): minenergia.gov.co. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Cancilleria: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): cancilleria.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Cancilleria: Sin security.txt detectable

Media

Cancilleria no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Cancilleria: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): cancilleria.gov.co.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

MinTIC: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: mintic.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTrabajo: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.mintrabajo.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTrabajo: Sin security.txt detectable

Media

MinTrabajo no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTrabajo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.mintrabajo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTrabajo: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.mintrabajo.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTransporte: Endurecimiento web insuficiente

Media

El portal mintransporte.gov.co mantiene endurecimiento web insuficiente: la respuesta raiz conserva HSTS y X-Frame-Options, pero no presenta Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy ni COOP.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

MinTransporte: Sin security.txt detectable

Media

No se detecto security.txt publico valido en mintransporte.gov.co; las rutas estandar redirigen a una pagina HTML de error.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Personería Bogotá: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): apps.personeriabogota.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Personería Bucaramanga: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): dev.personeriabucaramanga.gov.co, www.personeriabucaramanga.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cali: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriacali.gov.co, www.personeriacali.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Personería Cali: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): personeriacali.gov.co, www.personeriacali.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Personería Cartagena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriacartagena.gov.co, www.personeriacartagena.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Cartagena: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): personeriacartagena.gov.co, www.personeriacartagena.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Personería Ibagué: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): mail.personeriaibague.gov.co. Controles ausentes: Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Personería Valledupar: Sin security.txt detectable

Media

Personeria Valledupar no publica un security.txt valido detectable en rutas estandar.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

PNN: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): parquesnacionales.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

PNN: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de PNN.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion operativa para remediar incidentes reportados por terceros.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Policia Nacional: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.policia.gov.co. Controles ausentes: Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Policia Nacional: Sin security.txt detectable

Media

Policia Nacional no publica un security.txt valido detectable en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Presidencia: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): presidencia.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Presidencia: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: presidencia.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

ProColombia: Sin security.txt detectable

Media

ProColombia no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Rama Judicial: endurecimiento web insuficiente

Media

El portal principal conserva headers defensivos parciales, pero omite controles clave de endurecimiento del navegador.

Por qué importa: Headers incompletos reducen defensa en profundidad frente a inyeccion, filtrado de informacion de referencia, abuso de capacidades del navegador y aislamiento de contexto.

Headers de seguridadConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Rama Judicial: sin security.txt detectable

Media

Rama Judicial no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: Sin un canal estandar de divulgacion responsable, reportes legitimos de vulnerabilidades pueden llegar tarde o perder trazabilidad operativa.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Registraduria: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: registraduria.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

RTVC: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): rtvc.gov.co.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

RTVC: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: rtvc.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

sae: sin security.txt valido detectable

Media

/.well-known/security.txt y /security.txt devuelven 404 HTML sin campos Contact/Expires validos.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SATENA: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): satena.com. Controles ausentes: Content-Security-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SATENA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: satena.com.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SENA: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): sena.edu.co. Controles ausentes: clickjacking protection, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SENA: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: sena.edu.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Senado: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): secretariasenado.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Senado: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: secretariasenado.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

Senado: Panel administrativo detectable

Media

El panel de autenticacion administrativa sigue visible en 1 host(s): secretariasenado.gov.co.

Por qué importa: Paneles administrativos visibles en internet elevan exposicion a fuerza bruta, abuso de credenciales y CVEs del CMS.

Panel administrativo expuestoConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

SGC: CSP permisiva

Media

El endurecimiento de headers sigue debil en 1 host(s): sgc.gov.co. Controles ausentes: Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SGC: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: sgc.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SGC: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): sgc.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SINCHI: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): sinchi.gov.co. Controles ausentes: Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperNotariado: Endurecimiento web insuficiente

Media

SuperNotariado mantiene endurecimiento web incompleto en el portal principal.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperNotariado: sin security.txt valido detectable

Media

SuperNotariado no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSociedades: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): supersociedades.gov.co. Controles ausentes: Content-Security-Policy, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSociedades: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: supersociedades.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSolidaria: HTTP no fuerza redireccion a HTTPS

Media

El portal principal acepta HTTP sin redirigir obligatoriamente a HTTPS y no anuncia HSTS en la respuesta segura.

Por qué importa: Mantener HTTP funcional permite degradacion de transporte y expone a usuarios a navegacion sin cifrado cuando ingresan por enlaces o marcadores no seguros.

Configuración SSLConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSolidaria: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal de SuperSolidaria.

Por qué importa: Un security.txt valido facilita reportes coordinados de vulnerabilidades y reduce friccion para recibir y remediar reportes externos.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperSubsidio: Sin security.txt detectable

Media

No se detecto security.txt publico valido en las rutas estandar del portal canonico ni del destino www.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperTransporte: XML-RPC habilitado

Media

XML-RPC sigue visible en 1 host(s) verificados: supertransporte.gov.co.

Por qué importa: Interfaces heredadas o innecesarias expuestas amplian superficie de abuso automatizado y requieren endurecimiento.

Configuración expuestaConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

SuperTransporte: CSP ausente

Media

El endurecimiento de headers sigue debil en 1 host(s): supertransporte.gov.co. Controles ausentes: Content-Security-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

SuperTransporte: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: supertransporte.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UARIV: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): unidadvictimas.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UARIV: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: unidadvictimas.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UARIV: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): unidadvictimas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UARIV: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): unidadvictimas.gov.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UGPP: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: ugpp.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UIAF: Sin security.txt detectable

Media

No se detecta un security.txt valido en las rutas estandar del portal UIAF.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para que terceros comuniquen vulnerabilidades de forma responsable.

Divulgación responsableConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNGRD: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): gestiondelriesgo.gov.co. Controles ausentes: Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UNGRD: Sin security.txt detectable

Media

UNGRD no publica un security.txt valido en las rutas estandar del portal principal.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

CESA: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): admin.cesa.edu.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Colmayor Antioquia: Endurecimiento web insuficiente

Media

U. Colegio Mayor de Antioquia mantiene endurecimiento de headers incompleto en hosts publicos.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

ECCI: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): ecci.edu.co, www.ecci.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ECCI: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): ecci.edu.co, www.ecci.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Iberoamericana: Endurecimiento web insuficiente

Media

U. Iberoamericana mantiene hosts auxiliares publicos con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

ITP: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): ftp.itp.edu.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

Javeriana Cali: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): movilidad.javerianacali.edu.co, www.javerianacali.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Javeriana Cali: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): movilidad.javerianacali.edu.co, www.javerianacali.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Javeriana: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): educacion.javeriana.edu.co, javeriana.edu.co, www.javeriana.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Javeriana: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): educacion.javeriana.edu.co, javeriana.edu.co, www.javeriana.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Konrad Lorenz: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.konradlorenz.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Konrad Lorenz: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.konradlorenz.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. La Salle: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): apps.lasalle.edu.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UdeA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): udea.edu.co, www.udea.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UdeA: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): udea.edu.co, www.udea.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Medellín: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): udem.edu.co, www.udem.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Medellín: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): udem.edu.co, www.udem.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Distrital: Endurecimiento web insuficiente

Media

U. Distrital mantiene al menos un host publico con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

UIS: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): uis.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UIS: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): uis.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UNAB: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): intranet.unab.edu.co, unab.edu.co, www.unab.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UNAB: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): unab.edu.co, www.unab.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Nacional: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): login.unal.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Nacional: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): login.unal.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

El Bosque: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): educacion.unbosque.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

El Bosque: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): educacion.unbosque.edu.co, portal.unbosque.edu.co, www.unbosque.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UNIAJC: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): uniajc.edu.co, www.uniajc.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

UNIAJC: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): uniajc.edu.co, www.uniajc.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Uniandes: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 5 host(s): apps.uniandes.edu.co, contacto.uniandes.edu.co, cultura.uniandes.edu.co, uniandes.edu.co, www.uniandes.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Uniandes: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 5 host(s): apps.uniandes.edu.co, contacto.uniandes.edu.co, cultura.uniandes.edu.co, uniandes.edu.co, www.uniandes.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Atlantico: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): biblioteca.uniatlantico.edu.co, uniatlantico.edu.co, www.uniatlantico.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Atlantico: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): biblioteca.uniatlantico.edu.co, uniatlantico.edu.co, www.uniatlantico.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Cauca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): portal.unicauca.edu.co, unicauca.edu.co, www.unicauca.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Cauca: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 3 host(s): portal.unicauca.edu.co, unicauca.edu.co, www.unicauca.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Cesar: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: comercio.unicesar.edu.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

U. Córdoba: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): unicordoba.edu.co, www.unicordoba.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Córdoba: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): unicordoba.edu.co, www.unicordoba.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Guajira: Sin security.txt detectable

Media

U. Guajira no publica security.txt valido detectable en el host reportes.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

U. Llanos: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): unillanos.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Llanos: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): unillanos.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Magdalena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): cdn.unimagdalena.edu.co, pagos.unimagdalena.edu.co, www.unimagdalena.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Magdalena: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): pagos.unimagdalena.edu.co, www.unimagdalena.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Pamplona: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.unipamplona.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Pamplona: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 1 host(s): www.unipamplona.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

U. Sabana: Endurecimiento web insuficiente

Media

U. Sabana mantiene hosts auxiliares publicos con endurecimiento de headers insuficiente.

Por qué importa: Headers de seguridad ausentes o incompletos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Univalle: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): seguridad.univalle.edu.co, univalle.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Univalle: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): seguridad.univalle.edu.co, univalle.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

U. Pedagogica: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): agenda.upn.edu.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UPTC: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 2 host(s): estadisticas.uptc.edu.co, pagos.uptc.edu.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Rosario: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): urosario.edu.co, www.urosario.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

Rosario: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): urosario.edu.co, www.urosario.edu.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UTB: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): documentos.utb.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

UPME: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): upme.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

UPME: Sin security.txt detectable

Media

No se detecto security.txt publico valido en 1 host(s) verificados: upme.gov.co.

Por qué importa: La ausencia de security.txt dificulta reportes coordinados y aumenta friccion para divulgar vulnerabilidades responsablemente.

Divulgación responsableConfianza: mediumObservado: 2026-06-26

Cronología

Activo

Observado

2026-06-26

Revisado

2026-06-26

Publicado

2026-06-26

Activo

2026-06-26

UPME: Terceros de analitica/rastreo

Media

UPME carga terceros de analitica/rastreo en la portada publica.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: highObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

UPRA: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): upra.gov.co. Controles ausentes: Referrer-Policy, Permissions-Policy, Strict-Transport-Security.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-06-27

Cronología

Activo

Observado

2026-06-27

Revisado

2026-06-27

Publicado

2026-06-27

Activo

2026-06-27

XM: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): api.xm.com.co, www.xm.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

XM: Terceros de analitica/rastreo

Media

La pagina sigue cargando terceros de analitica/rastreo en 2 host(s): api.xm.com.co, www.xm.com.co.

Por qué importa: Terceros de analitica o rastreo en portales publicos requieren base legal, minimizacion y controles de consentimiento.

Tracking sin consentimientoConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-04

Publicado

2026-07-04

Activo

2026-07-04

ADRES: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): seguridad.adres.gov.co, www.adres.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Aguachica: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): aguachica-cesar.gov.co, www.aguachica-cesar.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Buenaventura: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.buenaventura.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Buga: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): guadalajaradebuga-valle.gov.co, www.guadalajaradebuga-valle.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Calarcá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.calarca-quindio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Caucasia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): caucasia-antioquia.gov.co, www.caucasia-antioquia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Facatativá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): facatativa-cundinamarca.gov.co, www.facatativa-cundinamarca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Florencia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): florencia-caqueta.gov.co, www.florencia-caqueta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Fusagasugá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.fusagasuga.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Leticia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): leticia-amazonas.gov.co, www.leticia-amazonas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Lorica: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): santacruzdelorica-cordoba.gov.co, www.santacruzdelorica-cordoba.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Madrid: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.madrid-cundinamarca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Magangue: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): magangue-bolivar.gov.co, www.magangue-bolivar.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Maicao: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): maicao-laguajira.gov.co, www.maicao-laguajira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Medellin: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.medellin.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Cereté: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cerete-cordoba.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Mosquera: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.mosquera-cundinamarca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Puerto Colombia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.puertocolombia-atlantico.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Soledad: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): soledad-atlantico.gov.co, www.soledad-atlantico.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Tuluá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.tulua.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Tunja: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): tunja-boyaca.gov.co, www.tunja-boyaca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Villamaría: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.villamaria-caldas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Alc. Yopal: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): www.yopal-casanare.gov.co, yopal-casanare.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Alc. Zipaquirá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): zipaquira-cundinamarca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

AMBQ: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.ambq.gov.co, www.ambq.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

AM Cucuta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.amc.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asamblea Atlantico: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asamblea-atlantico.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Caldas: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asambleadecaldas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Cesar: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): webmail.asambleacesar.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Guaviare: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asamblea-guaviare.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Huila: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): asamblea-huila.gov.co, www.asamblea-huila.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Meta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): asamblea-meta.gov.co, www.asamblea-meta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Sucre: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asambleasucre.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Tolima: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asambleatolima.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Asamblea Vichada: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): asamblea-vichada.gov.co, www.asamblea-vichada.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Corpocaldas: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): corpocaldas.gov.co, www.corpocaldas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Corpoguajira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.corpoguajira.gov.co, www.corpoguajira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Comfenalco Antioquia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): comfenalcoantioquia.com.co, qa.comfenalcoantioquia.com.co, www.comfenalcoantioquia.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Cenit: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): cenit-transporte.com, www.cenit-transporte.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

CDFLLA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.dermatologia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

CNDJ: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): cndj.gov.co, www.cndj.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Concejo Armenia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.concejo-armenia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Ibague: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.concejodeibague.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Manizales: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): concejodemanizales.gov.co, www.concejodemanizales.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Monteria: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): concejodemonteria.gov.co, www.concejodemonteria.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Pasto: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): mail.concejodepasto.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Popayan: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): concejodepopayan.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Sincelejo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.concejosincelejo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Concejo Villavicencio: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.concejodevillavicencio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

CREMIL: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cremil.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Antioquia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.cga.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Contraloría Barranquilla: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): contraloriabarranquilla.gov.co, www.contraloriabarranquilla.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Cauca: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): contraloria-cauca.gov.co, www.contraloria-cauca.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Cucuta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.contraloria-cucuta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Manizales: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.contraloriamanizales.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Meta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.contraloriameta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Narino: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.contraloria-narino.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Pereira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mail.contraloriapereira.gov.co, www.contraloriapereira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Putumayo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): contraloriaputumayo.gov.co, www.contraloriaputumayo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Quindio: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): contraloriaquindio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Risaralda: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): contraloriarisaralda.gov.co, www.contraloriarisaralda.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Sucre: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 4 host(s): contraloriasucre.gov.co, mail.contraloriasucre.gov.co, webmail.contraloriasucre.gov.co, www.contraloriasucre.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Contraloría Villavicencio: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): contraloriavillavicencio.gov.co, www.contraloriavillavicencio.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

DIMAR: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): dimar.mil.co, www.dimar.mil.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Dist. Buenaventura: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.buenaventura.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Dist. Tumaco: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): tumaco-narino.gov.co, www.tumaco-narino.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Megabus: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): mail.megabus.gov.co, megabus.gov.co, www.megabus.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Asmet Salud: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.asmetsalud.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Compensar EPS: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.compensar.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Mutual Ser: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): mutualser.org, www.mutualser.org.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

EPS Sura: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.epssura.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE San Jerónimo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): esesanjeronimo.gov.co, www.esesanjeronimo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

ESE Manuela Beltrán: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): webmail.hospitalmanuelabeltran.gov.co, www.hospitalmanuelabeltran.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

ETITC: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): intranet.etitc.edu.co, www.etitc.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Fiduagraria: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.fiduagraria.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

GENSA: Certificado TLS proximo a vencer

Media

HTTPS/TLS still fails for 1 host(s): vpn.gensa.com.co.

Por qué importa: TLS/HTTPS roto o ausente reduce confianza, facilita interceptacion y degrada canales institucionales.

Configuración SSLConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Gob. Amazonas: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.amazonas.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Caqueta: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): caqueta.gov.co, www.caqueta.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Guainia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): guainia.gov.co, www.guainia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Guaviare: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.guaviare.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Sucre: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): sucre.gov.co, www.sucre.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Vaupes: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): vaupes.gov.co, www.vaupes.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Gob. Vichada: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.vichada.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Sociedad Tequendama: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): mail.sociedadtequendama.com, sociedadtequendama.com, www.sociedadtequendama.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

iNNpulsa: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): api.innpulsacolombia.com, ftp.innpulsacolombia.com, www.innpulsacolombia.com.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

IPSE: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): ipse.gov.co, www.ipse.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

La Previsora: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.previsora.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Barranquilla: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): mail.personeriadebarranquilla.gov.co, personeriadebarranquilla.gov.co, www.personeriadebarranquilla.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Florencia: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.personeriaflorencia.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Manizales: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.personeriademanizales.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Montería: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): mail.personeriamonteria.gov.co, webmail.personeriamonteria.gov.co, www.personeriamonteria.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Pereira: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriapereira.gov.co, www.personeriapereira.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Personería Popayán: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriapopayan.gov.co, www.personeriapopayan.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Sincelejo: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriasincelejo.gov.co, www.personeriasincelejo.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Personería Tunja: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): personeriadetunja.gov.co, www.personeriadetunja.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

UApA: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.alimentosparaaprender.gov.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

ICESI: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): icesi.edu.co, portal.icesi.edu.co, www.icesi.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Los Libertadores: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): ulibertadores.edu.co, www.ulibertadores.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Antonio Nariño: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.uan.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Central: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): ucentral.edu.co, www.ucentral.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Mariana: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.umariana.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Boyacá: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.uniboyaca.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Cartagena: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): nuevo.unicartagena.edu.co, www.unicartagena.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Uninorte: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): m.uninorte.edu.co, www.uninorte.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

U. Pacífico: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.unipacifico.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

UPB: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 3 host(s): portal.upb.edu.co, upb.edu.co, www.upb.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

U. Surcolombiana: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 1 host(s): www.usco.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-05

Cronología

Activo

Observado

2026-07-05

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-05

Sergio Arboleda: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): usergioarboleda.edu.co, www.usergioarboleda.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

Tadeo Lozano: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): utadeo.edu.co, www.utadeo.edu.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

URRÁ: Scripts externos sin SRI

Media

Scripts de terceros sin Subresource Integrity siguen presentes en 2 host(s): urra.com.co, www.urra.com.co.

Por qué importa: Scripts de terceros sin Subresource Integrity pueden ejecutar codigo modificado si el proveedor o CDN se compromete.

SRI ausenteConfianza: mediumObservado: 2026-07-04

Cronología

Activo

Observado

2026-07-04

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-04

SuperServicios: Endurecimiento web insuficiente

Media

El endurecimiento de headers sigue debil en 1 host(s): www.superservicios.gov.co. Controles ausentes: Content-Security-Policy, clickjacking protection, X-Content-Type-Options, Referrer-Policy.

Por qué importa: Headers de seguridad ausentes o permisivos reducen defensas del navegador contra inyeccion, clickjacking y filtrado de contexto.

Headers de seguridadConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-05

Publicado

2026-07-05

Activo

2026-07-03

Cookie de sesion sin Secure en tramites.nuevaeps.com.co

Media

Chequeo pasivo 2026-07-03 observo ASP.NET_SessionId sin Secure en tramites.nuevaeps.com.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-06-29

Publicado

2026-06-29

Activo

2026-07-03

Cookie de sesion sin Secure en intranet.meta.gov.co

Media

Chequeo pasivo 2026-07-03 observo XSRF-TOKEN, intranet_session sin Secure en intranet.meta.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Cookie de sesion sin SameSite en fomag.gov.co

Media

Chequeo pasivo 2026-07-03 observo PHPSESSID sin SameSite en fomag.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin SameSite efectivo aumenta la exposicion a flujos de solicitud cruzada en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-06-29

Publicado

2026-06-29

Activo

2026-07-03

Cookie de sesion sin SameSite en webmail.turbaco-bolivar.gov.co

Media

Chequeo pasivo 2026-07-03 observo BIGipServerpool_webmail_https_zmb, ZM_LOGIN_CSRF, ZM_TEST sin SameSite en webmail.turbaco-bolivar.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin SameSite efectivo aumenta la exposicion a flujos de solicitud cruzada en navegadores.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-06-29

Publicado

2026-06-29

Activo

2026-07-03

Cookie de sesion sin Secure y SameSite en mio.com.co

Media

Chequeo pasivo 2026-07-03 observo 5dacb065145435ccef0f9bbf735268c7, 67fd7583ccf7891e08116ad143fe5066, ja_purity_ii_tpl sin Secure y SameSite en mio.com.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Cookie de sesion sin Secure y SameSite en www.mio.com.co

Media

Chequeo pasivo 2026-07-03 observo 5dacb065145435ccef0f9bbf735268c7, 67fd7583ccf7891e08116ad143fe5066, ja_purity_ii_tpl sin Secure y SameSite en www.mio.com.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Cookie de sesion sin Secure y SameSite en atlantico.gov.co

Media

Chequeo pasivo 2026-07-03 observo dfbe82f3c86a704987db90a9cfc7ebb6 sin Secure y SameSite en atlantico.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Cookie de sesion sin Secure y SameSite en www.atlantico.gov.co

Media

Chequeo pasivo 2026-07-03 observo dfbe82f3c86a704987db90a9cfc7ebb6 sin Secure y SameSite en www.atlantico.gov.co. El hallazgo agregado original queda en revision hasta separar alcance.

Por qué importa: Una cookie de sesion sin Secure puede viajar por HTTP si una navegacion o redireccion no fuerza HTTPS antes de enviar la cookie.

Cookie inseguraConfianza: mediumObservado: 2026-07-03

Cronología

Activo

Observado

2026-07-03

Revisado

2026-07-03

Publicado

2026-07-03

Activo

2026-07-03

Endurecimiento web insuficiente en tramites.agencialogistica.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en tramites.agencialogistica.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en sirh.metropol.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en sirh.metropol.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

security.txt ausente o invalido en banrep.gov.co

Media

La verificacion pasiva actual no encontro un security.txt valido text/plain en banrep.gov.co; los endpoints revisados devolvieron estados [200, 200].

Por qué importa: Un security.txt valido facilita divulgacion responsable y reduce friccion para reportar vulnerabilidades a la entidad.

Divulgación responsableConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en mercurio.concejodemedellin.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en mercurio.concejodemedellin.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en participacion.concejodemedellin.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en participacion.concejodemedellin.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en ftp.concejodecali.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en ftp.concejodecali.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en mail.concejodecali.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en mail.concejodecali.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en ftp.contraloriaguaviare.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en ftp.contraloriaguaviare.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en sgd.barrancabermeja.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en sgd.barrancabermeja.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

security.txt ausente o invalido en findeter.gov.co

Media

La verificacion pasiva actual no encontro un security.txt valido text/plain en findeter.gov.co; los endpoints revisados devolvieron estados [200, 200].

Por qué importa: Un security.txt valido facilita divulgacion responsable y reduce friccion para reportar vulnerabilidades a la entidad.

Divulgación responsableConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en planeacion.fontur.com.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en planeacion.fontur.com.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en tramites.arauca.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en tramites.arauca.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en igac.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en igac.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en registraduria.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en registraduria.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en www.registraduria.gov.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en www.registraduria.gov.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en app.eafit.edu.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en app.eafit.edu.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en tramites.umng.edu.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en tramites.umng.edu.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en intranet.vecol.com.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en intranet.vecol.com.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

Endurecimiento web insuficiente en presupuesto.vecol.com.co

Media

La verificacion pasiva actual observo respuestas HTTP exitosas en presupuesto.vecol.com.co sin cabeceras de seguridad clave: content-security-policy, cross-origin-opener-policy, permissions-policy, referrer-policy, strict-transport-security, x-content-type-options, x-frame-options.

Por qué importa: La ausencia de cabeceras de seguridad reduce defensas del navegador frente a clickjacking, contenido no controlado y exposicion de contexto entre origenes.

Headers de seguridadConfianza: probableObservado: 2026-06-28

Cronología

Activo

Observado

2026-06-28

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-06-28

cdn.supersalud.gov.co muestra pagina default de IIS

Baja

Subdominio activo, certificado emitido, pero responde con la pagina IIS Windows Server default (no contenido real).

Por qué importa: Subdominio sin proposito = superficie expuesta innecesaria + certificado emitido sin funcion. Candidato a decomisionamiento.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

mesa.supersalud.gov.co retorna HTTPS 500

Baja

Redirect 301 desde HTTP a HTTPS, pero HTTPS responde 500 Internal Server Error. Aplicacion caida o mal configurada.

Por qué importa: La mesa de servicio de la entidad regulada no esta operativa via web. Indica falta de monitoreo de salud de servicios criticos.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Metadata de autor en PDF público de www.villamaria-caldas.gov.co

Baja

PDF https://www.villamaria-caldas.gov.co/Transparencia/IndicadoresTramitesyServiciosPQRD/Respuesta%20derecho%20de%20petici%C3%B3n%20R.328.pdf embebe Author=? Creator=3-Heights\(TM\ Producer=3-Heights\(TM\

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.villamaria-caldas.gov.co

Baja

PDF https://www.villamaria-caldas.gov.co/Transparencia/PoblacionVulnerable/Manual%20de%20contrataci%C3%B3n.pdf embebe Author=? Creator=PDFium Producer=PDFium

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de villamaria-caldas.gov.co

Baja

PDF https://www.villamaria-caldas.gov.co/Transparencia/PoblacionVulnerable/Manual%20de%20contrataci%C3%B3n.pdf embebe Author=? Creator=PDFium Producer=PDFium

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.cdmb.gov.co

Baja

Un PDF publico de CDMB conserva metadatos embebidos de autor y herramienta de edicion. Los valores concretos no se publican en el sitio.

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Metadata de autor en PDF público de www.cdmb.gov.co

Baja

Un PDF publico de CDMB conserva metadatos embebidos de autor y herramienta de edicion. Los valores concretos no se publican en el sitio.

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Metadata de herramienta en PDF publico de www.cdmb.gov.co

Baja

Un PDF publico de CDMB conserva metadatos embebidos de herramienta de edicion. No se observan datos personales utiles en el campo de autor.

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-06-28

Publicado

2026-06-28

Activo

2026-05-03

Metadata de autor en PDF público de contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/lacontraloria/ORGANIGRAMA_CGDA-.pdf embebe Author=ZOILALUZ Creator=þÿMicrosoft® Excel® 2010 Producer=þÿMicrosoft® Excel® 2010

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/planes/auditorias/PGA_2018_V._1.pdf embebe Author=LUIS CARLOS PERTUZ Creator=þÿMicrosoft® Excel® 2016 Producer=þÿMicrosoft® Excel® 2016

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/planes/auditorias/PGA_2017_V._1.pdf embebe Author=LUIS CARLOS PERTUZ Creator=þÿMicrosoft® Excel® 2010 Producer=þÿMicrosoft® Excel® 2010

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/lacontraloria/ORGANIGRAMA_CGDA-.pdf embebe Author=ZOILALUZ Creator=þÿMicrosoft® Excel® 2010 Producer=þÿMicrosoft® Excel® 2010

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/planes/auditorias/PGA_2018_V._1.pdf embebe Author=LUIS CARLOS PERTUZ Creator=þÿMicrosoft® Excel® 2016 Producer=þÿMicrosoft® Excel® 2016

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.contraloriadelatlantico.gov.co

Baja

PDF https://contraloriadelatlantico.gov.co/doc/planes/auditorias/PGA_2017_V._1.pdf embebe Author=LUIS CARLOS PERTUZ Creator=þÿMicrosoft® Excel® 2010 Producer=þÿMicrosoft® Excel® 2010

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.metrosalud.gov.co

Baja

PDF https://www.metrosalud.gov.co/images/descargas/Desfijaci%C3%B3n%20firmada%20(2).pdf embebe Author=? Creator=RICOH Aficio MP 4002 Producer=RICOH Aficio MP 4002

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de metrosalud.gov.co

Baja

PDF https://www.metrosalud.gov.co/images/descargas/Desfijaci%C3%B3n%20firmada%20(2).pdf embebe Author=? Creator=RICOH Aficio MP 4002 Producer=RICOH Aficio MP 4002

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de umariana.edu.co

Baja

PDF https://www.umariana.edu.co/pdf/2026/convocatoria-situacion-economica-2s2026.pdf embebe Author=UMARIANA Creator=þÿMicrosoft® Word 2016 Producer=þÿMicrosoft® Word 2016

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de umariana.edu.co

Baja

PDF https://www.umariana.edu.co/images2026/eventos/festival-cancion-2026.pdf embebe Author=UMARIANA Creator=þÿMicrosoft® Word 2016 Producer=þÿMicrosoft® Word 2016

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de www.umariana.edu.co

Baja

PDF https://www.umariana.edu.co/pdf/2026/convocatoria-situacion-economica-2s2026.pdf embebe Author=UMARIANA Creator=þÿMicrosoft® Word 2016 Producer=þÿMicrosoft® Word 2016

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Metadata de autor en PDF público de planeacion.uniandes.edu.co

Baja

PDF https://planeacion.uniandes.edu.co/images/Acreditacion/Documentos/Lineamientos_de_acreditacin_de_programas_UA.pdf embebe Author=Gina Marcela Parra Marin Creator=Canva Producer=Canva

Por qué importa: Metadata de autor en PDFs publicados revela nombres reales de funcionarios y software interno usado. Riesgo bajo pero buena práctica limpiar.

Divulgación de informaciónA04:2021 — Insecure DesignConfianza: verifiedObservado: 2026-05-03

Cronología

Activo

Observado

2026-05-03

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-05-03

Arquitectura distribuida sin gobierno unico

Informativa

superlideres.* en Vercel (185.158.133.1), apex en Cloudflare US, vpn.dev.* en AWS US, cluster local en 190.71.138.197 --- multiples proveedores sin gobierno aparente.

Por qué importa: La heterogeneidad operativa multiplica los puntos de falla y dificulta la correlacion de eventos de seguridad. Sin gobierno unico, cada proveedor establece su propio estandar.

Consistencia operativaConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28

Headers SharePoint filtran version exacta y telemetria interna

Informativa

www, docs, assets responden con MicrosoftSharePointTeamServices: 16.0.0.10417, X-AspNet-Version: 4.0.30319, SPRequestDuration, SPIisLatency, X-MS-InvokeApp.

Por qué importa: Cada header acelera la explotacion de vulnerabilidades de version especifica. Buena practica: ocultar Server, X-Powered-By y headers de telemetria en respuestas externas.

Divulgación de informaciónConfianza: verifiedObservado: 2026-04-28

Cronología

Activo

Observado

2026-04-28

Revisado

2026-05-17

Publicado

2026-05-17

Activo

2026-04-28