Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos

Metodología

Qué observamos

Este observatorio registra señales públicas de postura digital de entidades del Estado colombiano. Todas las observaciones son equivalentes a lo que un ciudadano ve al visitar un portal gubernamental en un navegador estándar.

Señales observadas

  • Disponibilidad del dominio raíz y variante www
  • Soporte de HTTPS y estado del certificado SSL
  • Redirección de HTTP a HTTPS
  • Headers de seguridad HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP)
  • Presencia de security.txt (RFC 9116)
  • Información del servidor divulgada en headers
  • Consistencia de redirección entre dominio raíz y www
  • Registros DNS: SPF, DMARC, DKIM (seguridad de correo electrónico)
  • Subdominios descubiertos vía Certificate Transparency (registros públicos)
  • APIs de CMS accesibles sin autenticación (WordPress, Drupal, Liferay, Joomla)
  • Bibliotecas JavaScript con vulnerabilidades conocidas
  • Versiones de TLS soportadas y configuración de cifrado

Lo que NO hacemos

  • No realizamos pruebas de penetración
  • No hacemos escaneo de puertos ni fingerprinting agresivo
  • No probamos credenciales ni hacemos fuerza bruta
  • No inyectamos payloads ni exploramos endpoints no enlazados
  • No interactuamos con formularios sensibles
  • No describimos pasos reproducibles de intrusión

Herramientas

Las observaciones se realizan con herramientas estándar: curl, openssl s_client, dig y navegadores web. No se utilizan escáneres de vulnerabilidades, frameworks de explotación ni herramientas ofensivas.

Scoring

Se calculan cuatro índices independientes (0-100) que nunca se combinan en un solo número:

Cobertura

Tiene portal público confirmado y funcional

Postura de seguridad

Headers visibles, HTTPS, certificado válido

Divulgación responsable

security.txt, canal de reporte, política

Consistencia operativa

Dominio raíz funciona, redirección, sin errores

Bandas de severidad

80-100

Adecuado

40-79

Necesita mejora

1-39

Brechas significativas

0

Sin datos

Limitaciones

  • Los scores reflejan solo señales externamente visibles
  • Controles internos (WAF, IDS/IPS) no son visibles ni evaluados
  • Un score alto no garantiza seguridad; un score bajo indica deficiencias visibles
  • Las observaciones son snapshots puntuales, no monitoreo continuo
  • El inventario institucional puede estar incompleto — se actualiza incrementalmente
  • No constituye una auditoría formal bajo estándares PTES u OSSTMM