Hallazgosef-sinchi-02
Alta

SPF ausente en sinchi.gov.co

Categoría

Datos personales

Estado

Activo

Confianza

verified

Observado

2026-04-30

OWASP

A07:2021 — Identification and Authentication Failures

Resumen

No hay registro v=spf1 publicado.

Por qué importa

Sin SPF, cualquier servidor del mundo puede enviar correo con remitente @sinchi.gov.co. Spoofing trivial contra ciudadanos y proveedores.

Trazabilidad

Primera aparición

2026-04-30

Revisión

2026-05-17

Publicación

2026-05-17

Solución

Primera aparicion conocida en findings.json2026-04-30
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17

Cómo mitigar

  • Configurar SPF estricto: `v=spf1 include:_spf.<proveedor> -all`.
  • Implementar DKIM con clave RSA 2048 (no 1024).
  • Publicar DMARC con `p=reject` después de fase de monitoreo (`p=none` → `p=quarantine` → `p=reject`).
  • Si hay hosting fuera de Colombia, evaluar contra Ley 1581/2012 art. 26 (transferencia internacional).

Entidades afectadas (1)

ID: ef-sinchi-02·Origen: Extended findings (TLS/DNS/correlation)