Crítica
Ambiente de no-produccion expuesto en internet (17)
Categoría
API expuesta
Estado
ActivoConfianza
verified
Observado
2026-05-02
Resumen
Subdominios alcanzables: api.satellites4people.test.ia.fondoadaptacion.gov.co, datacatalog.test.ia.fondoadaptacion.gov.co, projectgenerator.test.ia.fondoadaptacion.gov.co, nadya.test.ia.fondoadaptacion.gov.co, api-prescriptive-modeling.test.ia.fondoadaptacion.gov.co.
Por qué importa
Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.
Trazabilidad
Primera aparición
2026-05-02
Revisión
2026-05-17
Publicación
2026-05-17
Solución
—
Primera aparicion conocida en findings.json2026-05-02
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17
Cómo mitigar
- •Restringir ambientes de no-producción por IP/VPN, nunca por DNS público.
- •Quitar prefijos identificables (dev, staging, uat) de DNS público — usar nombres opacos si la exposición DNS es necesaria.
- •Aplicar el mismo hardening de prod a dev (cuando sea alcanzable externamente).