Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Adecuado

Alcaldia de Floridablanca

Rama Ejecutiva · Sector territorial · Alcaldía municipal

Resumen ejecutivoRiesgo ALTO

Riesgo alto. Hallazgos de severidad alta principalmente en configuración de seguridad básica (DMARC, CAA, headers). Acción recomendada: publicar registros DMARC con política reject, habilitar HSTS y completar el set de headers de seguridad.

Total: 13Altas: 3Medias: 7Sistémicas: 1
Cobertura100
Postura de seguridad85
Divulgación responsable0
Consistencia operativa100

Hallazgos (6)

Hallazgo agrupado por similitud semántica (94 findings, 94 entidades)

Alta

ML clustering identificó 94 findings similares afectando 94 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 94}. Muestra: Sin DMARC publicado | Sin DMARC publicado | Sin DMARC publicado.

Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.

Sin DMARC publicado

Alta

_dmarc.floridablanca.gov.co no devuelve registro TXT.

Sin DMARC, cualquier atacante puede suplantar correos @floridablanca.gov.co sin restriccion. Spoofing trivial contra ciudadanos y proveedores.

DKIM no detectado en floridablanca.gov.co (selectores comunes)

Media

Probados 12 selectores comunes (default, mail, google, mailgun, etc.) — ninguno responde con v=DKIM1.

Sin DKIM, los receptores no pueden verificar criptográficamente que un correo proviene del servidor autorizado. Combinado con DMARC permisivo, deja la puerta abierta a spoofing.

DNS de floridablanca.gov.co totalmente fuera de Colombia

Media

NS records: ns-cloud-c4.googledomains.com, ns-cloud-c3.googledomains.com, ns-cloud-c1.googledomains.com, ns-cloud-c2.googledomains.com

Toda la zona DNS está bajo proveedores extranjeros — los logs de queries DNS, claves DNSSEC y eventual modificación quedan bajo jurisdicción foránea. Para el Estado, esto debería evaluarse contra Ley 1581/2012.

Sin canal estandar de divulgacion responsable

Media

Ninguno de los 4 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).

Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.

DNSSEC ausente en floridablanca.gov.co

Media

No hay registro DS en zona padre.

Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.

Activos públicos (4)

floridablanca.gov.co

portal principal

7/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: nginx,Nexura/7.3

Tech: Nginx. Title: Sede Electrónica Alcaldía de Floridablanca

Observado: 2026-05-02

mail.floridablanca.gov.co

email

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: Apache

Tech: Apache. Title: 404 Error

Observado: 2026-05-02

salud.floridablanca.gov.co

subdominio

0/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 200.119.125.34).

Observado: 2026-05-02

www.floridablanca.gov.co

portal principal

7/8
HTTPS
Certificado
HSTS
CSP
X-Frame-Options
X-Content-Type
Referrer-Policy
security.txt

Server: nginx,Nexura/7.3

Tech: Nginx. Title: Sede Electrónica Alcaldía de Floridablanca

Observado: 2026-05-02