Hace algunos meses, construyendo Kelsen —una IA legal sobre jurisprudencia colombiana—, escribí un script para descargar sentencias del Consejo de Estado desde su sistema SAMAI. GET request, parsear HTML, guardar PDF. Código que escribe un estudiante de primer semestre. A los pocos minutos, mi base local tenía ciento cuarenta mil expedientes con cédulas, direcciones, teléfonos, nombres completos de demandantes, víctimas, menores de edad, historiales médicos, denuncias de violencia intrafamiliar.
No estaba haciendo pentesting. Estaba haciendo mi trabajo.
Ese es exactamente el punto.
Si un sistema filtra datos cuando alguien lo usa para lo que fue diseñado —descargar jurisprudencia pública— no tiene un bug. Tiene una arquitectura rota desde el origen. La filtración no es un accidente del sistema. Es el sistema funcionando como se construyó.
El problema en Colombia no es que el Estado tenga vulnerabilidades. Toda organización las tiene — Google las tiene, los bancos las tienen, mi propio código las tiene. El problema es lo que pasa después de que la vulnerabilidad existe.
Cuando una empresa privada filtra datos personales en Colombia, le caen tres cosas: la Superintendencia de Industria y Comercio impone multas que pueden llegar a tres mil millones de pesos; los afectados pueden demandar bajo la Ley 1581 de 2012 de protección de datos; y la prensa lo cuenta. La consecuencia es real, costosa, y rápida.
Cuando una entidad del Estado filtra datos personales, no le cae nada.
La SIC formalmente puede fiscalizar al Estado con la misma rigurosidad que al sector privado — en la práctica casi nunca lo hace. El proceso administrativo se diluye entre ministerios, los responsables son otras entidades públicas, las sanciones son simbólicas. La Ley 1581 existe para todos en el papel. En la calle aplica a las empresas y exime al Estado por inercia. Esta asimetría no es un descuido legislativo. Es una propiedad del sistema: lo que se autorregula no se regula.
Hay un segundo problema, más sutil. Las filtraciones del Estado son invisibles. Una empresa privada que pierde datos lo anuncia, aunque sea a regañadientes — la Ley se lo exige. El Estado no anuncia nada. Si alguien encuentra una falla, tiene tres caminos: reportarla a CSIRT-Colombia y esperar meses sin respuesta; explotarla con malas intenciones; o publicarla y arriesgarse a ser perseguido bajo la Ley 1273 de 2009 por «acceso abusivo a sistema informático» — irónicamente la misma ley que castiga al atacante real.
El resultado: las filtraciones existen, se conocen entre quienes saben buscar, y no llegan a la conversación pública. Los ciudadanos cuyos datos están expuestos no se enteran. Las entidades responsables no se enteran tampoco — o fingen no enterarse. La negligencia es invisible, y por tanto sin costo.
estadoseguro.co existe para cerrar esa asimetría.
No es un sitio de denuncia. Es un observatorio. Cada hallazgo pasa primero por responsible disclosure: notificación a la entidad responsable y a CSIRT-Colombia, ventana de noventa días para que se arregle, y solo después la publicación. Hemos documentado fallas en ocho entidades: el Consejo de Estado, la Corte Constitucional, la Corte Suprema de Justicia, Colombia Compra Eficiente, la Superintendencia de Sociedades, la SIC, la Función Pública y el Senado. Todas se encontraron sin pentesting — usando los sistemas para lo que dicen que sirven.
La hipótesis es simple. Lo que se mide se gestiona. Lo que es público se prioriza. El Estado colombiano tiene la capacidad técnica para arreglar sus sistemas — no es un problema de presupuesto, es un problema de incentivos. Mientras la negligencia digital no tenga consecuencia política, no se mueve.
Un observatorio cambia eso. Cuando un periodista llama a una entidad para preguntar por qué está publicada con una falla activa, la falla se arregla esa semana. Cuando una superintendencia ve a sus pares en el ranking, mueve la prioridad. La transparencia funciona como mecanismo de presión más eficiente que cualquier multa que la SIC nunca le va a imponer al propio Estado.
Quiero ser claro en esto: la mayoría de los sistemas que documentamos los construyó alguien con buenas intenciones, con presupuesto limitado, hace ocho o diez años. Las arquitecturas envejecieron, las amenazas crecieron, nadie volvió a mirar. La negligencia es estructural, no maliciosa. Pero las consecuencias para la persona cuyos datos se filtran son las mismas — el remedio para esa persona no depende de las intenciones de la entidad.
La seguridad digital del Estado debería ser un bien público, como el agua, como el alumbrado, como las vías. Pero a diferencia de esos servicios, no se ve. Un acueducto roto se nota. Un sistema con ciento cuarenta mil registros expuestos no se nota hasta que alguien lo dice.
estadoseguro.co existe para que se note.