Estado Seguropor Cristian Espinal Maya
Ver hallazgos

Metodologia

Que observamos

Este observatorio registra senales publicas de postura digital de entidades del Estado colombiano. Todas las observaciones son equivalentes a lo que un ciudadano ve al visitar un portal gubernamental en un navegador estandar.

Senales observadas

  • Disponibilidad del dominio raiz y variante www
  • Soporte de HTTPS y estado del certificado SSL
  • Redireccion de HTTP a HTTPS
  • Headers de seguridad HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP)
  • Presencia de security.txt (RFC 9116)
  • Informacion del servidor divulgada en headers
  • Consistencia de redireccion entre dominio raiz y www

Lo que NO hacemos

  • No realizamos pruebas de penetracion
  • No hacemos escaneo de puertos ni fingerprinting agresivo
  • No probamos credenciales ni hacemos fuerza bruta
  • No inyectamos payloads ni exploramos endpoints no enlazados
  • No interactuamos con formularios sensibles
  • No describimos pasos reproducibles de intrusion

Herramientas

Las observaciones se realizan con herramientas estandar: curl, openssl s_client, y navegadores web. No se utilizan escaneres de vulnerabilidades, frameworks de explotacion ni herramientas ofensivas.

Scoring

Se calculan cuatro indices independientes (0-100) que nunca se combinan en un solo numero:

Cobertura

Tiene portal publico confirmado y funcional

Postura de seguridad

Headers visibles, HTTPS, certificado valido

Divulgacion responsable

security.txt, canal de reporte, politica

Consistencia operativa

Dominio raiz funciona, redireccion, sin errores

Bandas de severidad

80-100

Adecuado

40-79

Necesita mejora

1-39

Brechas significativas

0

Sin datos

Limitaciones

  • Los scores reflejan solo senales externamente visibles
  • Controles internos (WAF, IDS/IPS) no son visibles ni evaluados
  • Un score alto no garantiza seguridad; un score bajo indica deficiencias visibles
  • Las observaciones son snapshots puntuales, no monitoreo continuo
  • El inventario institucional puede estar incompleto — se actualiza incrementalmente
  • No constituye una auditoria formal bajo estandares PTES u OSSTMM

Divulgacion responsable

Los hallazgos son reportados al CSIRT Colombia (csirt@mintic.gov.co) y a las entidades afectadas antes de la publicacion. Se ofrece un periodo de embargo de 90 dias para remediacion. El nivel de detalle publicado es suficiente para que las entidades validen y remedien, pero insuficiente para facilitar explotacion por terceros.