13 hallazgos documentados — 4 criticos, 6 altos. Basados exclusivamente en senales publicas observables.
El portal de la Secretaria del Senado opera exclusivamente sobre HTTP sin cifrar, con Apache 2.2.22 y OpenSSL 1.0.1 (ambos EOL). WebDAV habilitado. 0/8 headers de seguridad.
Por que importa: Un atacante con acceso a la red podria interceptar sesiones y modificar el texto publicado de las leyes colombianas.
La API del sistema SAMAI del Consejo de Estado permite consultar nombres de actores y demandados sin autenticacion. ~280.000 personas expuestas.
Por que importa: Potencial violacion de Ley 1581/2012 de Habeas Data. Incluye procesos de tutela con proteccion constitucional especial.
La API REST de WordPress expone 40 cuentas con nombres completos, slugs de login y hashes de Gravatar de funcionarios judiciales.
Por que importa: Facilita ataques de fuerza bruta y campanas de ingenieria social contra funcionarios judiciales.
La API REST de WordPress de Colombia Compra Eficiente expone 19 cuentas de usuario, incluyendo dbadminRelatoria.
Por que importa: La cuenta de administrador de base de datos expuesta facilita ataques dirigidos a la plataforma de contratacion publica.
MinInterior, MinAgricultura, MinAmbiente, MinDefensa y MinDeporte presentan certificados SSL invalidos o no coincidentes en sus dominios.
Por que importa: Ministerios con SSL roto generan advertencias de seguridad en navegadores, erosionando la confianza institucional.
ADR, ICETEX, ANLA, ICFES, ICA, DANE, ANDJE, ARN, INDUMIL, Banco Agrario, Policia Nacional y Armada presentan SSL invalido.
Por que importa: Un total de 17 portales del Estado tienen SSL que genera advertencias de seguridad en navegadores.
El dominio raiz de la Superintendencia Financiera sirve un certificado emitido para *.azureedge.net.
Por que importa: Un regulador financiero con SSL mal configurado socava la confianza del sistema financiero colombiano.
El 27% de los portales observados no implementa ninguno de los 8 headers de seguridad estandar. Incluye Cancilleria, DIAN, Fiscalia, Corte Constitucional, Consejo de Estado, JEP, FAC, ICBF, INVIMA, Ecopetrol, Banco de la Republica, entre otros.
Por que importa: Los headers de seguridad son configurables en minutos. Su ausencia masiva indica deficiencia sistemica en la gobernanza de seguridad digital del Estado.
El portal de ICETEX divulga Microsoft-IIS/7.5 en su header Server. IIS 7.5 fue lanzado en 2009 y ya no recibe soporte.
Por que importa: Software de servidor web de 17 anos en el portal que gestiona creditos educativos de millones de colombianos.
El 95.5% de los portales no tiene security.txt (RFC 9116). Solo ANI, SGC, Findeter, Policia y Banco de la Republica lo publican.
Por que importa: Sin canal formal, no hay forma estandar de reportar vulnerabilidades de forma responsable al Estado colombiano.
El 30% de los portales no responde sin www. Los ciudadanos que escriben dian.gov.co o fiscalia.gov.co obtienen errores.
Por que importa: Problema basico de configuracion DNS solucionable en minutos que afecta la accesibilidad de los servicios del Estado.
Incluye nginx 1.14-1.24, Apache 2.4, IIS 7.5-10.0, awselb/2.0. Facilita identificacion de CVEs conocidos.
Por que importa: La divulgacion de version permite a atacantes buscar vulnerabilidades conocidas especificas para ese software.
El certificado vence el 22 de abril de 2026, a 19 dias de la observacion.
Por que importa: Si no se renueva, el portal del ente disciplinario del Estado quedara sin HTTPS funcional.