Alcaldia de Villavicencio
Rama Ejecutiva · Sector territorial · Alcaldía capital
Riesgo crítico. La entidad acumula 10 hallazgos críticos verificados. La superficie de ataque concurrente sugiere falta de auditoría reciente y configuraciones por defecto sin endurecer. Adicionalmente, 5 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: cerrar acceso público a paneles administrativos (restringir por IP/VPN) y verificar credenciales por defecto.
Hallazgos (8)
Hallazgo agrupado por similitud semántica (21 findings, 12 entidades)
CriticaML clustering identificó 21 findings similares afectando 12 entidades distintas. Categoría dominante: panel_admin_expuesto. Severidades: {'critica': 21}. Muestra: phpMyAdmin accesible en educacion.cordoba.gov.co | phpMyAdmin accesible en sig.villavicencio.gov.co | phpMyAdmin accesible en gobierno.villavicencio.gov.co.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
phpMyAdmin accesible en gobierno.villavicencio.gov.co
CriticaGET https://gobierno.villavicencio.gov.co/phpmyadmin/
phpMyAdmin público + credenciales débiles/default = compromiso total de DB. Recomendación: nunca exponer phpMyAdmin a internet.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin registros CAA
Altadig CAA villavicencio.gov.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
Headers exponen versiones de stack en 2 hosts
MediaEjemplos: webmail.villavicencio.gov.co: X-Powered-By=PHP/8.3.30; app.villavicencio.gov.co: X-Powered-By=PleskLin.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 15 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Cookies sin Secure o SameSite en 3 hosts
MediaHosts afectados: webmail.villavicencio.gov.co, movilidad.villavicencio.gov.co, atencion.villavicencio.gov.co.
Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.
DNSSEC ausente en villavicencio.gov.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Activos públicos (15)
apps.villavicencio.gov.co
subdominio
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 217.77.12.14).
Observado: 2026-05-02
catastro.villavicencio.gov.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 54.86.53.253).
Observado: 2026-05-02
proyectos.villavicencio.gov.co
subdominio
HTTPS error: <urlopen error [Errno 51] Network is unreachable>. FQDN publicado en DNS publico (IP 94.72.122.148).
Observado: 2026-05-02
dev.villavicencio.gov.co
ambiente no produccion
HTTPS error: <urlopen error [Errno 51] Network is unreachable>. FQDN publicado en DNS publico (IP 94.72.122.148).
Observado: 2026-05-02
webmail.villavicencio.gov.co
Server: nginx
Tech: Nginx. Title: Roundcube Webmail :: Welcome to Roundcube Webmail
Observado: 2026-05-02
sig.villavicencio.gov.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 38.19.41.50).
Observado: 2026-05-02
movilidad.villavicencio.gov.co
subdominio
Server: nginx
Tech: Nginx. Title: -
Observado: 2026-05-02
gobierno.villavicencio.gov.co
subdominio
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 38.19.41.50).
Observado: 2026-05-02
mail.villavicencio.gov.co
Server: nginx
Tech: Nginx. Title: Correos Alcaldía de Villavicencio
Observado: 2026-05-02
atencion.villavicencio.gov.co
subdominio
Server: nginx
Tech: Nginx. Title: -
Observado: 2026-05-02
ftp.villavicencio.gov.co
subdominio
Server: nginx
Tech: Nginx. Title: Alcaldía de Villavicencio
Observado: 2026-05-02
app.villavicencio.gov.co
subdominio
Server: nginx
Tech: Nginx. Title: Alcaldia de Villavicencio
Observado: 2026-05-02
api.villavicencio.gov.co
api
HTTPS error: <urlopen error timed out>. FQDN publicado en DNS publico (IP 38.19.41.50).
Observado: 2026-05-02
www.villavicencio.gov.co
portal principal
Tech: no fingerprint. Title: -
Observado: 2026-05-02
villavicencio.gov.co
portal principal
Tech: no fingerprint. Title: -
Observado: 2026-05-02