Durante el último año encontré vulnerabilidades de seguridad en varias plataformas colombianas. Todas exponían datos personales sensibles: nombres, correos, teléfonos, direcciones, números de documento. Y en todos los casos intenté hacer lo correcto: reportar la falla, explicar su impacto y proponer soluciones.
No soy pentester profesional. Soy ingeniero de software. Y como muchos en esta comunidad, cuando veo una falla, mi primera reacción no es explotarla. Es entenderla, documentarla y reportarla.
Lo que pasó después fue, en el mejor de los casos, decepcionante.
Caso 1: AvalPayCenter
En este artículo técnico documenté cómo AvalPayCenter exponía datos personales en sus respuestas del servidor. Bastaba fallar una autenticación para recibir un JWT que, al decodificarlo, contenía los datos de otra persona. Más tarde encontré otros endpoints (findUser, getUserByDocument) que permitían consultar información con solo un número de documento, sin ningún tipo de autenticación.
Hice el reporte de forma formal y respetuosa: abrí casos de soporte, llamé por teléfono, escribí correos con explicaciones técnicas detalladas. La primera respuesta llegó semanas después. Agradecían mi comunicación y afirmaban que se estaban tomando el tema con seriedad. Pero incluían también una frase que lo decía todo:
“La administración y el manejo de temas relacionados con la seguridad de la información es altamente confidencial y está protegida por la ley, razón por la cual nos abstenemos de brindar información adicional.”
Nunca hubo una transición en la que yo pasara de ser “alguien que reporta” a “alguien que contribuye”. A pesar de que mis hallazgos ayudaron a corregir vulnerabilidades reales, seguí siendo un actor externo, tratado con la distancia que se reserva a lo incómodo. Como si mi colaboración fuera una amenaza más que un aporte.
Caso 2: Panamericana
En otro hallazgo que documenté, encontré que Panamericana usaba códigos QR en sus tiendas para que los clientes actualizaran sus datos. El formulario resultante permitía, con solo ingresar una cédula válida, ver nombre, correo, celular y dirección de la persona asociada.
Hice el reporte el 5 de abril de 2023. Nunca recibí respuesta.
Aunque la empresa aplicó cambios técnicos (como agregar captcha y restringir el acceso mediante un identificador de tienda), la vulnerabilidad sigue activa. El formulario continúa devolviendo datos sensibles sin autenticación. Y yo sigo esperando una conversación que nunca llegó.
Caso 3: Politécnico Grancolombiano
A finales de febrero de 2025, encontré una vulnerabilidad en el sitio web del Politécnico Grancolombiano que permitía acceder a datos personales de cualquier persona registrada con solo conocer —o adivinar— un número de cédula.
Mediante un endpoint del backend, era posible enviar consultas secuenciales que devolvían información como nombre completo, correo electrónico, número de documento y teléfono, sin ningún tipo de autenticación. Un atacante podía automatizar este proceso y recorrer la base de datos entera en minutos.
El 28 de febrero envié el primer reporte. Recibí una respuesta cordial, agradeciendo el hallazgo y asegurando que revisarían el caso. Un mes después, el 31 de marzo, envié un segundo mensaje indicando que la vulnerabilidad seguía activa. La respuesta fue similar: tono amable, reconocimiento general y la promesa de que el equipo de tecnología estaba trabajando en ello.
Hoy la vulnerabilidad ya no está activa. Pero no tengo certeza de cuándo fue corregida, ni si alguien más la descubrió o la explotó antes. Pasó más de un mes desde mi primer reporte hasta que dejó de estar expuesta. En ese tiempo, cualquiera pudo haber accedido a la información personal de cientos o miles de personas.
La falla fue corregida, sí. Pero todo el proceso se sintió como hablar al vacío: sin interlocución real, sin seguimiento, sin señales de que alguien del otro lado estuviera dispuesto a escuchar.
El problema de fondo
Estos tres casos tienen una constante: nunca fui tratado como parte de la solución. A pesar de reportar fallas graves, de manera ética, sin pedir nada a cambio, con rigor técnico y respeto, seguí siendo percibido como “alguien de afuera”.
Y ese es el verdadero problema. En Colombia, todavía no existe una cultura de reportes de vulnerabilidades que acoja, valore y canalice la colaboración técnica bien intencionada. No hay canales públicos, ni procesos claros, ni trazabilidad. El reporte se ve con sospecha. Se asocia al conflicto. A veces, al delito.
¿Y en otros países?
Lo más frustrante es que esta cultura del silencio no es la norma en todas partes. En otros países, el reporte ético es parte del ecosistema. Existen programas de bug bounty, formularios de divulgación responsable, y estándares como security.txt que indican cómo comunicarse con los equipos de seguridad. En muchos lugares, reportar fallas se recompensa, no se ignora.
Acá, en cambio, cada vez es más común recibir mensajes de texto con enlaces de phishing. Muchos de ellos contienen información legítima: el nombre del titular de un plan de celular, el banco donde tiene cuenta, el producto que compró. ¿De dónde salen esos datos? Muchas veces, de bases de datos que fueron expuestas… y que nadie reportó. O que sí se reportaron, pero nunca fueron atendidas.
No reportar ayuda a que estos casos se repitan. Y tratar con indiferencia a quien sí reporta, es un mensaje claro: no queremos escuchar.
¿Por qué escribo esto?
No escribo buscando demandas, aplausos ni enemigos. Escribo esto para dejar constancia. Para que, la próxima vez que alguien encuentre una vulnerabilidad en Colombia, no lo reciban con silencio, con abogados, o con una respuesta de protocolo vacía.
Escribo esto para que las empresas entiendan que una persona que reporta una falla no es un problema que hay que manejar, sino una oportunidad que vale la pena aprovechar.
Y escribo esto también para quienes, como yo, se han topado con errores que no pueden ignorar. No dejen de reportar. No dejen de escribir. No dejen de hablar. Porque si seguimos callando, solo ganan quienes sí quieren hacer daño.
La seguridad digital también se construye desde afuera. A veces desde un navegador. A veces desde la curiosidad. Pero siempre desde la convicción de que lo correcto es avisar, no explotar.