Seguridad de policianacional.gob.do

[CRITICAL] Puerto 3306 (MySQL) ABIERTO: La base de datos principal está expuesta directamente a internet, permitiendo intentos de intrusión y ataques de fuerza bruta.

[CRITICAL] Puerto 3389 (RDP) ABIERTO: El protocolo de Escritorio Remoto de Windows es visible públicamente, lo que facilita ataques de toma de control del servidor.

[CRITICAL] Puerto 6379 (Redis) ABIERTO: El servicio de caché Redis se encuentra expuesto, pudiendo permitir la extracción de datos sensibles en memoria sin autenticación.

[HIGH] Cabeceras de Seguridad Faltantes: Ausencia total (0/6) de políticas como CSP, X-Frame-Options y HSTS, dejando el sitio vulnerable a ataques de XSS, Clickjacking y degradación de protocolo.

[HIGH] Puerto 21 (FTP) ABIERTO: Uso de un protocolo de transferencia de archivos no cifrado que permite la interceptación de credenciales en texto plano.

[HIGH] Seguridad de Cookies Deficiente: Las cookies de sesión carecen de los flags Secure y HttpOnly, lo que permite su robo mediante scripts maliciosos o intercepción de tráfico.

[HIGH] HSTS no configurado: El servidor no instruye a los navegadores para usar exclusivamente conexiones HTTPS, permitiendo posibles ataques de tipo Man-in-the-Middle.

[MEDIUM] Puerto 8080 (HTTP-Alt) ABIERTO: Un servidor web alternativo o proxy está expuesto, aumentando innecesariamente la superficie de ataque.

[MEDIUM] Vulnerabilidad CSRF en Cookies: La falta del atributo SameSite en las cookies de la plataforma permite que un atacante realice acciones no autorizadas en nombre del usuario.

[LOW] Fallo en robots.txt y sitemap.xml: El acceso a estos archivos devuelve un error 403, impidiendo una indexación correcta y controlada por parte de los buscadores.

[WARN] Expiración de Certificado SSL: El certificado de cifrado actual caduca en 25 días, lo que requiere una renovación inmediata para evitar alertas de seguridad a los usuarios.