Empresa de Acueducto y Alcantarillado de Bogota
Rama Ejecutiva · Sector servicios · Empresa industrial y comercial del Estado
Riesgo crítico. Se detectaron 1 vulnerabilidades catalogadas por CISA como activamente explotadas en ataques reales (CVE-2024-4577). No son riesgos teóricos: equivalen a fallas conocidas y publicadas que atacantes ya están usando contra otras organizaciones. Adicionalmente, 11 de los hallazgos detectados se replican en otras entidades del Estado — el patrón sugiere causa raíz compartida (proveedor común, template institucional o stack heredado). Acción inmediata: actualizar el stack tecnológico al menos a las versiones que parchean las CVE listadas en CISA KEV.
Hallazgos (16)
CISA KEV CVE-2024-4577: php 5 en emp-eaab (explotación activa documentada; en uso por ransomware activo)
CriticaLa versión detectada php 5 corresponde a vendor='php group' product='php' con 1 CVE en el catálogo CISA KEV. Esta CVE específica (CVE-2024-4577: PHP-CGI OS Command Injection Vulnerability) está documentada como explotada activamente por atacantes en producción (catalog dateAdded=2024-06-12, dueDate gov US=2024-07-03; en uso por ransomware activo).
El catálogo CISA Known Exploited Vulnerabilities lista solamente CVEs con evidencia confirmada de explotación en ataques reales. Esto no es un riesgo teórico: equivalente a saber que la cerradura específica de tu casa está publicada en un foro de criminales. La US Federal Government tiene fechas obligatorias de remediación (dueDate) — para entidades del Estado colombiano el estándar mínimo es el mismo. Si la CVE es de uso conocido en ransomware, el riesgo escala a interrupción operacional crítica.
Hallazgo agrupado por similitud semántica (196 findings, 196 entidades)
AltaML clustering identificó 196 findings similares afectando 196 entidades distintas. Categoría dominante: datos_personales. Severidades: {'alta': 196}. Muestra: DMARC en modo permisivo (quarantine en lugar de reject) | DMARC en modo quarantine (no reject) | DMARC en modo quarantine (no reject).
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Hallazgo agrupado por similitud semántica (299 findings, 299 entidades)
AltaML clustering identificó 299 findings similares afectando 299 entidades distintas. Categoría dominante: configuracion_ssl. Severidades: {'alta': 299}. Muestra: Sin registros CAA | Sin registros CAA | Sin registros CAA.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Sin registros CAA
Altadig CAA acueducto.com.co retorna vacio.
Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion. Combinado con monitoreo CT incompleto, certificados fraudulentos pueden pasar inadvertidos.
DMARC en modo none (no reject)
Alta_dmarc.acueducto.com.co publica politica permisiva.
Politica none no rechaza correos no autenticados. Atacante puede suplantar @acueducto.com.co contra ciudadanos del territorio.
Hallazgo agrupado por similitud semántica (8 findings, 8 entidades)
AltaML clustering identificó 8 findings similares afectando 8 entidades distintas. Categoría dominante: dependencias_vulnerables. Severidades: {'alta': 8}. Muestra: CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2 | CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2 | CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
CVE-2024-21412: Win Defender SmartScreen bypass — sistemas Win 2012 R2
AltaStack IIS 8.5 (Win 2012 R2 EOL oct-2023) detectado. CVE-2024-21412 afecta esta version y permite el comportamiento descrito sin parche post-EOL.
OS sin parche desde oct-2023 acumula CVE de kernel y servicios. Cada CVE post-EOL se vuelve permanente.
Hallazgo agrupado por similitud semántica (5 findings, 37 entidades)
AltaML clustering identificó 5 findings similares afectando 37 entidades distintas. Categoría dominante: software_obsoleto. Severidades: {'alta': 5}. Muestra: Stack EOL 'IIS 8.5 (Win 2012 R2 EOL)' presente en 14 entidades del Estado | Stack EOL 'PHP 7.4 (EOL)' presente en 13 entidades del Estado | Stack EOL 'PHP 7.3 (EOL)' presente en 3 entidades del Estado.
Findings agrupados por similitud semántica reflejan una vulnerabilidad común (causa raíz compartida): mismo proveedor, misma configuración por defecto, o mismo template institucional sin endurecer. Resolver el problema en una entidad sin coordinar con las demás deja el problema activo en N-1 entidades.
Stack EOL 'IIS 8.5 (Win 2012 R2 EOL)' presente en 14 entidades del Estado
AltaEntidades con esta tech: alc-arauca, alc-inirida, alc-mitu, alc-mocoa, alc-neiva, alc-popayan, alc-puerto-carreno, alc-quibdo
Software fuera de soporte (IIS 8.5 (Win 2012 R2 EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.
Stack EOL 'PHP 5 (EOL)' presente en 8 entidades del Estado
AltaEntidades con esta tech: alc-cali, alc-ibague, car-cda, car-crc-cauca, emp-eaab, ese-metrosalud, ese-subred-norte, gob-cesar
Software fuera de soporte (PHP 5 (EOL)) en múltiples entidades sugiere proveedor común con stack obsoleto. Vulnerabilidad descubierta en este stack afecta simultáneamente a varios servicios públicos.
Certificado wildcard cubre 1 dominios en acueducto.com.co
MediaWildcards en SAN: *.acueducto.com.co. Total SAN: 2.
Wildcard certs simplifican operación pero amplían el blast radius: si la llave privada se compromete, el atacante impersona TODOS los subdominios cubiertos. Buena práctica: cert por servicio.
DNSSEC ausente en acueducto.com.co
MediaNo hay registro DS en zona padre.
Sin DNSSEC, un atacante con MITM en cualquier resolvedor puede inyectar respuestas DNS falsas. Permite redirección a servidores controlados sin alertas.
Headers exponen versiones de stack en 6 hosts
MediaEjemplos: aurora.acueducto.com.co: X-Powered-By=ASP.NET; om.acueducto.com.co: X-Powered-By=ASP.NET; sso.acueducto.com.co: X-Powered-By=ASP.NET.
Cada header de version acelera la explotacion de vulnerabilidades especificas. Buena practica: ocultar Server, X-Powered-By, X-Generator en respuestas externas.
Sin canal estandar de divulgacion responsable
MediaNinguno de los 14 subdominios alcanzables publica /.well-known/security.txt (RFC 9116).
Un investigador que descubra una vulnerabilidad no tiene canal estandarizado para reportar antes de publicar. Crisis va a prensa antes que a la entidad.
Cookies sin Secure o SameSite en 6 hosts
MediaHosts afectados: aurora.acueducto.com.co, om.acueducto.com.co, sso.acueducto.com.co, acueducto.com.co, www.acueducto.com.co.
Sin Secure las cookies viajan en HTTP plano si HSTS no aplica. Sin SameSite quedan expuestas a CSRF.
Headers de seguridad insuficientes (3/8)
MediaApex acueducto.com.co solo presenta 3 de 8 headers de seguridad esperados (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP).
Headers de seguridad activan protecciones del navegador del usuario contra inyeccion, clickjacking y mixed content. Bajos = exposicion al usuario final.
Activos públicos (14)
aurora.acueducto.com.co
subdominio
Server: Microsoft-IIS/8.5
Tech: ASP.NET, IIS 8.5 (Win 2012 R2 EOL). Title: 401 - Unauthorized: Access is denied due to invalid credentials.
Observado: 2026-05-02
dev.acueducto.com.co
ambiente no produccion
Server: Apache/2.4.65 (Debian)
Tech: Apache. Title: 403 Forbidden
Observado: 2026-05-02
om.acueducto.com.co
subdominio
Server: Microsoft-IIS/8.5
Tech: ASP.NET, IIS 8.5 (Win 2012 R2 EOL). Title: 403 - Forbidden: Access is denied.
Observado: 2026-05-02
sso.acueducto.com.co
subdominio
Server: Microsoft-IIS/10.0
Tech: ASP.NET, Cloudflare, IIS 10. Title: EAAB ESP SSO
Observado: 2026-05-02
cdn.acueducto.com.co
subdominio
Server: Microsoft-IIS/10.0
Tech: ASP.NET, IIS 10. Title: 403 - Forbidden: Access is denied.
Observado: 2026-05-02
acueducto.com.co
portal principal
Tech: no fingerprint. Title: -
Observado: 2026-05-02
app.acueducto.com.co
subdominio
Server: Apache
Tech: Apache. Title: Citrix Gateway
Observado: 2026-05-02
r.liam.acueducto.com.co
subdominio
Server: cloudflare
Tech: Cloudflare. Title: Sendinblue technical domain
Observado: 2026-05-02
www.acueducto.com.co
portal principal
Tech: no fingerprint. Title: -
Observado: 2026-05-02
img.liam.acueducto.com.co
subdominio
Server: cloudflare
Tech: Cloudflare. Title: Sendinblue technical domain
Observado: 2026-05-02
autodiscover.acueducto.com.co
HTTPS error: <urlopen error [Errno 61] Connection refused>. FQDN publicado en DNS publico (IP 52.96.88.72).
Observado: 2026-05-02
gme.acueducto.com.co
subdominio
Server: Microsoft-IIS/8.5
Tech: IIS 8.5 (Win 2012 R2 EOL), PHP 5 (EOL). Title: EAB E.S.P.
Observado: 2026-05-02
emr.acueducto.com.co
subdominio
Server: Microsoft-IIS/8.5
Tech: ASP.NET, IIS 8.5 (Win 2012 R2 EOL). Title: 401 - Unauthorized: Access is denied due to invalid credentials.
Observado: 2026-05-02
tracking.acueducto.com.co
subdominio
Tech: no fingerprint. Title: -
Observado: 2026-05-02