Un reporte elaborado por el analista y especialista en ciberseguridad Patrick Quirk revela que la infraestructura digital vinculada a la Presidencia de Colombia y a múltiples organismos estatales habría dejado al descubierto en la red aproximadamente 32 GB de información altamente sensible. Este material incluye mapas de inteligencia militar, registros de seguridad territorial, datos de víctimas del conflicto armado y documentación interna de diversas agencias gubernamentales.
Según el documento, divulgado el 13 de mayo de 2026, la filtración se originó en un portal ArcGIS Enterprise de la Presidencia. Esta plataforma de sistemas de información geográfica (GIS), empleada para crear y gestionar mapas digitales con datos territoriales, operaba sin ningún tipo de autenticación, lo que permitía el acceso libre a más de 300 servicios organizados en 26 carpetas.
El informe detalla que una verificación adicional realizada el 12 de mayo identificó 1.387 elementos más visibles públicamente, gestionados por múltiples cuentas internas de la administración.
El investigador señala que estos hallazgos se suman a descargas previas efectuadas durante campañas de revisión en enero y febrero de 2026, lo que habría elevado el volumen total de datos expuestos a los 32 GB mencionados. De acuerdo con el análisis, la infraestructura permanecía accesible y seguía acumulando información abierta al público.
Entre los elementos descubiertos se encuentran mapas militares catalogados como operacionales, con capas geográficas que detallan la presencia de grupos armados ilegales, zonas de conflicto y coordenadas de infraestructura crítica. También se mencionan datos vinculados a los Aetcr, los espacios territoriales donde residen excombatientes de las Farc en el marco del acuerdo de paz de 2016.
El informe advierte que la exposición de las coordenadas de estos espacios conlleva riesgos de seguridad considerables, dados los antecedentes de violencia contra firmantes del acuerdo. Además, se indica que algunos documentos contenían información sobre ataques, amenazas y dinámicas del conflicto en distintas regiones del país.
Otro conjunto de datos provendría de sistemas internos de análisis social y seguridad, los cuales incluirían reportes de seguimiento a situaciones de orden público, líderes sociales y metodologías de recolección de información basadas en fuentes abiertas y privilegiadas.
La investigación sostiene que la exposición no se limitó a la Presidencia. El documento señala que múltiples entidades estatales mantenían servidores geoespaciales sin autenticación, facilitando el acceso a datos de diversos sectores del Estado, como medio ambiente, infraestructura, minería, catastro y gestión territorial.
En una revisión realizada en febrero de 2026, Quirk afirma haber identificado decenas de subdominios asociados a sistemas GIS en varias agencias públicas, así como bases de datos técnicas con información de infraestructura energética, catastro urbano y proyectos de ordenamiento territorial.
El informe también menciona presuntas vulnerabilidades en plataformas digitales de la Policía Nacional de Colombia, incluyendo sistemas de análisis basados en inteligencia artificial y servicios alojados en la nube. Según el reporte, estos sistemas habrían expuesto endpoints de API, identificadores de sesión y credenciales temporales.
De manera adicional, el documento afirma que estructuras digitales ligadas al movimiento político Colombia Humana presentaban fallas de seguridad, con bases de datos accesibles sin autenticación y archivos con información de afiliados.
El informe describe estos hallazgos como un patrón generalizado de fallas en la seguridad digital del Estado colombiano, señalando la presencia de APIs abiertas, entornos de desarrollo expuestos, subdominios enumerables y formularios que revelaban estructuras internas de recolección de datos.
Actualmente, el acceso a los informes militares publicados en la galería de la Presidencia parece haber sido restringido, impidiendo la consulta directa de esos documentos sensibles.
Sin embargo, según la revisión descrita en el informe, los servidores de datos geográficos de entidades como el Instituto Geográfico Agustín Codazzi, el Servicio Geológico Colombiano, el Ideam, Parques Nacionales, la Unidad de Planificación Rural Agropecuaria, así como plataformas de la CAR de Cundinamarca, Catastro Bogotá y la Agencia Nacional de Hidrocarburos, continuarían accesibles públicamente, permitiendo consultar, explorar y descargar información sin requerir autenticación.
El documento sostiene que estos sistemas albergan grandes volúmenes de información geográfica y técnica empleada para la gestión del territorio, planificación ambiental y seguimiento de recursos naturales e infraestructura.
¿Quién es Patrick Quirk?
Patrick Quirk se presenta como un especialista en inteligencia de amenazas, respuesta a incidentes e investigaciones Osint. Según su perfil profesional, ha trabajado en análisis de ciberseguridad en entornos corporativos y de defensa, además de haber participado en investigaciones de fraude digital y rastreo de infraestructura tecnológica.
El informe aclara que su metodología se basa exclusivamente en técnicas de fuentes abiertas, análisis de infraestructura pública, enumeración de subdominios, revisión de certificados digitales y consultas a servicios geoespaciales accesibles sin autenticación, sin realizar intrusiones directas a sistemas protegidos.
El documento concluye que la supuesta filtración no correspondería a un incidente aislado, sino a una exposición sistemática de infraestructura digital estatal, que habría permitido el acceso público a datos sensibles de seguridad, geografía, conflicto armado y administración pública.
Hasta el momento, el informe no ha sido confirmado de manera independiente por las autoridades colombianas, y no se ha emitido una respuesta oficial detallada sobre la totalidad de los hallazgos descritos.
Medios de comunicación intentaron obtener una explicación oficial del Ministerio de Defensa sobre los señalamientos contenidos en el informe, así como una postura frente a las posibles vulnerabilidades descritas. Sin embargo, hasta la publicación de esta nota no se había recibido respuesta por parte de la entidad.
Fuente: Infobae