Audité al Estado: Responsible Disclosure en la SIC junto a Fundación Karisma
Volver
SEGURIDADRESPONSIBLE DISCLOSURESICKARISMA

Audité al Estado: Responsible Disclosure en la SIC junto a Fundación Karisma

Mejor Llama A Cris!Mejor Llama A Cris!
4 min de lectura
2 vistas

No estaba buscando una vulnerabilidad.

Estaba intentando consultar el estado de un proceso personal en la plataforma de servicios en línea de la Superintendencia de Industria y Comercio.

Lo que encontré no era lo que buscaba.

El sistema devolvió un error. Pero no era un error cualquiera. El balanceador de carga no estaba funcionando correctamente, y en lugar de una respuesta controlada, el servidor expuso información técnica que ningún usuario debería ver. Un endpoint activo. Una superficie de ataque.

Cualquier developer serio sabe lo que eso significa.

Empecé a investigar.

Lo Que Encontramos

La vulnerabilidad era del tipo BOLA — Broken Object Level Authorization una de las fallas más críticas en seguridad de APIs según OWASP.

Imagen

El sistema validaba correctamente que el usuario tuviera sesión activa. Pero no verificaba que los recursos solicitados le pertenecieran.

Eso significa que cualquier usuario autenticado podía modificar un identificador en la petición y acceder a expedientes jurisdiccionales de terceros. Nombres, cédulas, documentos privados de otros ciudadanos y empresas.

Los identificadores eran secuenciales. Enumerables. Lo que hace la explotación trivial para cualquiera con conocimientos técnicos básicos.

Esto no era un bug menor. Era una brecha crítica en infraestructura del Estado colombiano.

La Decisión

En ese momento había tres opciones.

Ignorarlo. Explotarlo. O reportarlo responsablemente.

Para Mejor Llama A Cris! no hubo debate.

Reportar era la única opción que tiene sentido cuando encontrás algo así. No por obligación legal. Por convicción.

La información expuesta era de ciudadanos colombianos. Personas reales con procesos activos ante una entidad del Estado. Eso no se usa. Se protege.

Por Qué Fundación Karisma

Imagen

Reportar directamente a una entidad del Estado en Colombia sin un intermediario institucional es un riesgo real. No hay canales formales de divulgación. No hay protección legal para investigadores de seguridad. El historial de cómo el Estado ha respondido a reportes de vulnerabilidades en el pasado no es tranquilizador.

Fundación Karisma lleva años trabajando en este espacio. Tienen trayectoria documentada en responsible disclosure, relaciones con entidades del Estado, y la credibilidad institucional necesaria para que un reporte de este tipo sea recibido correctamente.

El 10 de marzo de 2026 les escribimos. Enviamos el reporte completo con hallazgos, evidencia técnica y recomendaciones de mitigación.

El Proceso

Karisma verificó el reporte a través de su laboratorio de seguridad digital K+Lab. Confirmaron la vulnerabilidad. Y encontraron una segunda, similar, que afectaba datos personales de usuarios registrados en la plataforma.

Dos vulnerabilidades críticas. Ambas en producción. Ambas explotables.

Karisma contactó a la Delegatura para la Protección de Datos Personales de la SIC. Transmitieron el informe. Gestionaron el proceso de remediación.

Semanas después, ambas vulnerabilidades fueron corregidas. Los endpoints ya no existen. El parche fue verificado tanto por Karisma como por Mejor Llama A Cris!.

El Resultado

Hoy, Fundación Karisma publicó el reporte técnico completo en su blog oficial.

Pueden leerlo aquí: La detección participativa en acción: corrección de una vulnerabilidad crítica en el sitio web de la SIC

El reporte incluye los endpoints afectados, la descripción técnica de ambas vulnerabilidades, los payloads de ejemplo, y las recomendaciones de mitigación que MLAC envió junto al reporte original.

Lo Que Esto Significa Para Mejor Llama A Cris!

Este caso no es un logro para mostrar. Es una posición.

Mejor Llama A Cris! opera con los mismos estándares que exige a cualquier sistema que construye o audita. Ética operacional no es un valor declarativo. Es una decisión concreta que se toma cuando nadie está mirando.

En Colombia no existen rutas formales para reportar vulnerabilidades en sistemas del Estado. No hay protección legal para investigadores. No hay incentivos institucionales.

Reportamos de todas formas.

Porque el software que toca infraestructura pública tiene una responsabilidad que va más allá del código. Y porque si vamos a elevar el estándar de la ingeniería de software en este país, hay que empezar por demostrar cómo se hace.

Esto es solo el comienzo.

Un agradecimiento

Todo este proceso no hubiera sido posible sin el acompañamiento de Fundación Karisma. Su rol como intermediario institucional fue determinante para que el reporte llegara a las personas correctas, se verificara con rigor técnico y se resolviera de forma oportuna.

Este tipo de alianzas entre el sector privado, la sociedad civil y las entidades del Estado son exactamente lo que Colombia necesita para construir infraestructura digital más segura. Plataformas como la de la SIC no son abstractas las usan ciudadanos reales, empresas reales, todos los días. Que una vulnerabilidad crítica haya sido corregida antes de convertirse en una filtración masiva es el resultado directo de que esa cadena funcionó.

Gracias, Karisma.

Cris
Cali, Colombia
Mayo 2026
Founder — Mejor Llama A Cris!

0 Comentarios

Inicia sesión para participar en la conversación

Iniciar Sesión