Un informe del analista de ciberseguridad Patrick Quirk, especializado en inteligencia de fuentes abiertas (OSINT), ha revelado que la Presidencia de Colombia y múltiples entidades estatales habrían dejado expuestos en internet al menos 32 GB de información sensible. El hallazgo, documentado el 13 de mayo de 2026, incluye mapas de inteligencia militar operacional, esquemas de seguridad, coordenadas de infraestructura sensible y datos de seguimiento a grupos armados ilegales. Según la investigación, el portal ArcGIS Enterprise de la Presidencia funcionaba sin autenticación, permitiendo el acceso público a más de 300 servicios organizados en 26 carpetas. La metodología empleada por Quirk se basó en técnicas de fuentes abiertas, enumeración de subdominios, revisión de certificados digitales y consultas a servicios geoespaciales accesibles sin necesidad de intrusiones directas a sistemas protegidos, con descargas previas registradas en enero y febrero de 2026.
Entre los datos expuestos se encuentran mapas militares con capas geográficas sobre presencia de grupos armados, zonas de conflicto y coordenadas de infraestructura sensible; información de los Espacios Territoriales de Capacitación y Reincorporación (AETCR) de excombatientes de las Farc; reportes de seguimiento a orden público y líderes sociales; y registros de víctimas del conflicto armado. Asimismo, el informe identificó 1.387 elementos adicionales visiblemente públicos el 12 de mayo de 2026, administrados por múltiples cuentas internas, junto con documentos técnicos sobre Bogotá que contienen datos geoespaciales y administrativos. Quirk describe estos hallazgos como un «patrón generalizado de fallas en la seguridad digital del Estado», que incluye APIs abiertas, entornos de desarrollo expuestos y formularios que revelan estructuras internas de recolección de datos.
Fallas generalizadas y servidores aún accesibles
Pese a que el acceso a los informes militares en la galería de la Presidencia fue restringido tras la alerta, el informe advierte que servidores GIS de otras entidades continúan accesibles sin autenticación. Entre ellas se mencionan el Instituto Geográfico Agustín Codazzi (IGAC), el Servicio Geológico Colombiano (SGC), el Ideam, Parques Nacionales Naturales, la Unidad de Planificación Rural Agropecuaria (UPRA), la CAR de Cundinamarca, Catastro Bogotá y la Agencia Nacional de Hidrocarburos (ANH). Además, se detectaron vulnerabilidades en plataformas digitales de la Policía Nacional, como sistemas de análisis basados en inteligencia artificial, endpoints de API expuestos e identificadores de sesión y credenciales temporales. También se encontraron fallas en las estructuras digitales de Colombia Humana, con bases de datos accesibles sin autenticación que contienen archivos con información de afiliados.
La información expuesta incluye datos de infraestructura energética, catastro urbano, proyectos de ordenamiento territorial y seguimiento a recursos naturales. De especial gravedad son las coordenadas asociadas a los AETCR, que podrían representar un riesgo para los firmantes del acuerdo de paz de 2016, en un contexto de violencia persistente contra excombatientes. Hasta el momento, no ha habido una confirmación independiente por parte de las autoridades colombianas ni una respuesta oficial detallada de la Presidencia. Infobae Colombia intentó obtener declaraciones del Ministerio de Defensa sin éxito al momento de la publicación del informe. Patrick Quirk, con antecedentes en la NSA de Estados Unidos y experiencia en análisis de ciberseguridad en entornos corporativos y de defensa, subraya que el hallazgo evidencia un patrón de vulnerabilidades que compromete la seguridad nacional.
