TLP:AMBER   OSINT PASSIVE RECON · Q-MISSION FORCEGEN 2.0 · SOLO DISTRIBUCIÓN INTERNA
Q-Mission
csirtdefensa.cl
+ gob.cl · Gobierno de Chile

Reconocimiento OSINT Pasivo

CSIRT Defensa Nacional + Portal Único del Gobierno · Chile

Fecha: 04 Junio 2026  ·  Versión: v1 · Rev.A  ·  Analista: Q-Mission OSINT Unit

78
▲ ALTO · csirtdefensa
65
▲ ALTO · gob.cl
2
Objetivos
17
Subdominios
23
IPs únicas
7
Hallazgos CRIT
6
Hallazgos HIGH
8
Hallazgos MED
1017
Creds comprometidas
M365
Tenant Cloud
📋
Resumen Ejecutivo Narrativo
OSINT PASIVO

csirtdefensa.cl es el CSIRT (Computer Security Incident Response Team) de la Defensa Nacional de Chile. El reconocimiento pasivo revela una superficie de ataque contenida pero con exposición significativa: el dominio raíz no resuelve a IP pública (posible medida deliberada de hardening), sin embargo el subdominio ticket.csirtdefensa.cl expone activamente una plataforma de ticketing (framework Laravel/AdminLTE) protegida por Radware WAF (IP 66.22.101.65, São Paulo-BR). El correo organizacional está enrutado vía Proofpoint (mxa/mxb-003cc901.gslb.pphosted.com), con dos MX internos propios (200.111.102.230 - ENTEL Chile; 163.247.67.11 - Min. Interior). Se confirma tenant Microsoft 365 (ID: eb9995b2-9414-4b61-a523-0e834a11772a), modo Managed (no federado). El registro DNS SOA revela email administrativo interno: administrator@csirtdefensa.cl.


gob.cl es el Portal Único del Gobierno de Chile, gestionado por el Ministerio del Interior y Seguridad Pública (ASN 17147). La arquitectura es multi-nube: AWS Global Accelerator en el dominio raíz (IP anycast 76.223.86.196 / 13.248.194.103), Cloudflare como WAF/CDN para www.gob.cl, y múltiples servicios en Amazon CloudFront/EC2. El ecosistema expone servicios críticos como claveUnica.gob.cl (identidad nacional, S3+CloudFront), con backend API en iam-backend.claveunica.gob.cl (AWS Oregon). La CSP de claveUnica revela integración con Google Tag Manager, Google Analytics y MouseFlow. La política DMARC de gob.cl es p=none — no aplicada, riesgo de spoofing. El SPF con -all es estricto, pero sin DMARC enforcement deja la puerta abierta a suplantación de identidad.


Ambas entidades comparten infraestructura en el espacio de IPs 163.247.x.x (ASN 17147 - Ministerio del Interior), sugiriendo una red gubernamental compartida. El ecosistema total abarca 7 proveedores cloud/CDN distintos, aumentando la cadena de suministro digital que debe monitorearse.

⚠ Veredicto: Superficie de ataque media-alta. csirtdefensa.cl protege bien su dominio raíz pero expone sistema de tickets en cloud offshore (Radware/Brasil). gob.cl tiene DMARC p=none — riesgo real de phishing gubernamental en escala nacional.
MITRE ATT&CK Coverage
TÁCTICA · TÉCNICA
Reconnaissance
T1596 · Búsqueda DNS
T1596.002 · WHOIS/Registros
T1596.003 · Cert Transparency
T1589 · Recolección de emails
T1590 · Footprint de red
Resource Development
T1583 · Adquisición de infra
T1584 · Compromiso de infra
T1587.001 · Malware craft
T1598 · Phishing de info
Initial Access
T1566 · Spearphishing (DMARC weak)
T1190 · Exploit público (ticket)
T1078 · Cuentas válidas M365
T1133 · Acceso externo remoto
Collection
T1213 · Data repositorios
T1114 · Email collection
T1119 · Auto collection
Exfiltration
T1048 · Exfil alt protocol
T1567 · Exfil cloud service
Impact
T1491 · Web defacement
T1498 · DDoS (gov portal)
T1485 · Data destruction
📊
Distribución de Hallazgos
⚠ Por Severidad
CRÍTICO4
ALTO6
MEDIO8
INFO7
🛡 Por WAF/Protección
Cloudflarewww.gob.cl
Radwareticket.csirt
CloudFrontclaveUnica
Sin WAFintranet.gob
☁ Por Cloud Provider
AWS~12 IPs
Cloudflare2 IPs
Gov CL6 IPs
Radware1 IP (BR)
🎯 Por Objetivo
csirtdefensa.clRisk 78
gob.clRisk 65
claveUnica⚠ Nacional
iam-backendAPI exp.
🌐
Mapa de Topología de Red
CAPA DNS CAPA EDGE/WAF CAPA APP CAPA AUTH BACKEND csirtdefensa.cl ns01/ns02 · ENTEL+Gov gob.cl a.nic.cl · b.nic.cl · ns.gob.cl Proofpoint MX mxa/mxb-003cc901.pphosted Radware WAF 66.22.101.65 · São Paulo BR Cloudflare CDN 104.21.11.171 · www.gob.cl ticket.csirtdefensa.cl Laravel/AdminLTE · CSRF protect www.gob.cl AWS Global Accelerator claveunica.gob.cl S3 + CloudFront · Identidad Nacional M365 Tenant eb9995b2-9414-4b61-a523-... iam-backend.claveunica AWS Oregon · 3 IPs exposed Red Gov CL AS17147 163.247.x.x Min. Interior intranet.gob.cl mail.gob.cl sii.gob.cl DNS Layer Edge / WAF / MX Application Layer Auth / API Layer Gov Network sii.gob.cl AS15208 · 200.10.251.221 AWS Accelerator 76.223.86.196 / 13.248.194.103
🎯
Matriz de Riesgo (Impacto × Probabilidad)
🟢 Bajo
🟡 Medio
🟠 Alto
🔴 Crítico
🔴 Crítica
DMARC p=none
claveUnica API
Phishing Gov ×M
🟠 Alta
ticket CSRF
ticket Laravel
M365 BF
🟡 Media
MX interno exp.
Infra offshore
intranet.gob.cl
🟢 Baja
DNS enum
Tech fingerprint
SaaS tracking
🗡
Kill Chain Narrativa
HIPOTÉTICO · PASIVO OSINT
FASE 1
Reconocimiento
crt.sh + DNS brute-force pasivo. Identificar ticket.csirtdefensa.cl. Enumerar MX Proofpoint. Tenant M365.
FASE 2
Weaponización
Spearphishing a @csirtdefensa.cl con dominio typosquat. Aprovechar DMARC p=none de gob.cl para email spoofing masivo.
FASE 3
Entrega
Email malicioso suplantando csirt-defensa.cl (typo). Adjunto con macro / link a landing falsa de M365.
FASE 4
Explotación
Captura credenciales M365 vía adversary-in-the-middle (evilginx2). O: ataque a ticket.csirtdefensa.cl (Laravel CVE conocidos).
FASE 5
Instalación
Persistencia en M365 (OAuth app maliciosa). Movimiento lateral a recursos SharePoint/Teams del CSIRT.
FASE 6
Impacto
Exfiltración de reportes de incidentes. O: DoS del portal gob.cl. Compromiso de claveUnica para identidades ciudadanas.
Nota: Este escenario es hipotético y basado en OSINT pasivo. Los pasos 3-6 no fueron verificados. El objetivo es ilustrar el riesgo potencial para priorizar controles defensivos.
💀
Inteligencia de Brechas y Filtraciones
1017 REGISTROS 04 Jun 2026 Inteligencia de Brechas
1017
Total registros
0
csirtdefensa ✅
7
Funcionarios SAG
38
Clave Única exp.
970
Capturas mevacuno
15+
Portales afectados
100%
Origen: Stealer
10
Emails @gob.cl
📡 Cobertura de Búsqueda — Estrategia Multi-Vector
csirtdefensa.cl — 0 registros en dominio + 8 subdominios + origin
🔴domain:gob.cl — 10 emails institucionales comprometidos
🔴origin:gob.cl (stealer) — 1003 registros de infostealer
🔴Subdominios críticos — 15+ portales con evidencia de compromiso
CRÍTICO   Resumen Ejecutivo — Exposición de Credenciales
✅ csirtdefensa.cl — SIN EXPOSICIÓN
Todas las consultas (dominio principal + www, mail, intranet, portal, webmail, vpn) retornaron 0 resultados. El CSIRT de Defensa mantiene una higiene digital ejemplar. No hay evidencia de credenciales comprometidas ni de infección por stealer en equipos con acceso a portales del CSIRT. ✅ Referente de buenas prácticas
🔴 gob.cl — EXPOSICIÓN SIGNIFICATIVA
1017 registros totales. Funcionarios SAG con OWA/SSO comprometidos. 38 credenciales Clave Única expuestas. 970 capturas en mevacuno. Afecta SAG, MTT, MINEDUC, SENDA, ISPCH, Interior y Extranjería. ⚠ Requiere acción inmediata
CRÍTICO   SAG — Funcionarios con OWA/SSO Comprometido (7 funcionarios · infostealer)
⚠ Múltiples funcionarios del SAG accedieron a owa.sag.gob.cl y sso.sag.gob.cl desde equipos infectados con infostealer. Compromete correo institucional, SharePoint/Teams, y toda la suite Microsoft 365 del SAG.
👁 Modo visualización:
Email SAGContraseñas capturadasPortales SAG afectadosSeveridad
dominiquelatournerie@sag.gob.cl •••••••••••• owa · academia · calidad · ceropapel CRIT · OWA
luis.urrea@sag.gob.cl 4 capturas
••••••••••••••••••• •••••••••••••••••••• ••••••••••••••••••••• ••••••••
owa · ceropapel · sso · appconsultasanciones · enviopostales · msti CRIT · REINFECCIÓN
diego.cruz@sag.gob.cl •••••••••• academia · owa · sag.gob.cl CRIT · OWA
carolina.bonomo@sag.gob.cl ••••••••• owa.sag.gob.cl CRIT · OWA
israel.diaz@sag.gob.cl •••••••••••••• sso.sag.gob.cl ALTO · SSO
roberto.rojasg@sag.gob.cl •••••••••••• sso.sag.gob.cl ALTO · SSO
hector.zambrano@sag.gob.cl •••••••••••• sso.sag.gob.cl ALTO · SSO
🔍 Patrón MagnificaIlusi0n+Mes detectado en luis.urrea: Rotación mensual predecible. Base fija + mes. Permite inferir contraseña actual una vez conocida la base. 4 capturas distintas = infección persistente o reinfección múltiple del dispositivo.
CRÍTICO   MDM del SAG comprometido — mdm.sag.gob.cl (control de dispositivos corporativos)
MDM = control total de dispositivos corporativos del SAG. Una credencial comprometida en mdm.sag.gob.cl permite: gestión remota de todos los teléfonos/tablets del SAG, instalación de perfiles de monitoreo, wipe/reset remoto, y potencial acceso a datos corporativos en dispositivos gestionados.
SistemaContraseña capturadaClasificaciónImpacto
mdm.sag.gob.cl Mobile Device Mgmt •••••• Diccionario · Trivial Control total dispositivos SAG
ALTO   Emails Institucionales @gob.cl en Brechas de Terceros (10 registros · MTT, MINEDUC, SENDA)
Búsqueda domain:gob.cl retorna emails institucionales encontrados en brechas de servicios externos (Evony, iMesh, AdultFriendFinder, ShareThis) y logs de stealer. Evidencia uso de email institucional en servicios personales y reutilización de contraseñas.
Email institucionalContraseñaFuente / FechaTipo
info2@gob.cl••••••••••Stealer LogsStealer
info2@gob.cl (variante lowercase)••••••••••Stealer LogsStealer
mtt@gob.cl MTT••••••••UnknownBrecha · Pass compartida
mtt.registros@gob.cl MTT••••••••UnknownBrecha · Pass compartida
martin3444@gob.cl•••••••••••Stealer LogsStealer
acantillana@gob.cl••••••Evony.com (2016-06)Brecha antigua
senda@gob.clN/A (hash)ShareThis.com (2018-07)Brecha
agarrido@gob.cl••••••••iMesh.com (2013-09)Brecha antigua
mineduc@gob.cl MINEDUCN/A (hash)AdultFriendFinder (2016-10)Brecha · Email en sitio adulto
mtt@gob.cl y mtt.registros@gob.cl comparten "aladin14" — contraseña de diccionario reutilizada entre cuenta funcional y de registros del Ministerio de Transportes. Riesgo sistémico de pivote entre cuentas.
CRÍTICO   Clave Única del Estado — 38 credenciales ciudadanas expuestas (acceso a +500 servicios del Estado)
🔑 La Clave Única da acceso a: ChileAtiende, SII, COMPIN, FONASA, AFP, Registro Civil, beneficios sociales y +500 servicios públicos. Cada credencial comprometida = riesgo de fraude en prestaciones, modificación de datos personales y suplantación de identidad ante el Estado chileno.
#Email ciudadanoContraseña capturadaPortales comprometidosRiesgo
1constqnzaa@gmail.com•••••••••••accounts.claveunica + mevacunoCU completa
2leyla.oyarzun@gmail.com•••••••••••claveunica + mevacunoCU completa
3claudioxx64@gmail.com•••••••••mevacuno + accounts.claveunicaCU completa
4jessicaaquijada83@gmail.com••••••••••••••••••mevacuno + claveunicaCU completa
5martinezjavier.arq@gmail.com••••••••••••••mevacuno + accounts.claveunicaCU completa
6matiahernandez88@gmail.com•••••••••••••mevacuno + accounts.claveunicaCU completa
7gladysmarcano.233@gmail.com•••••••••••••accounts.claveunica + mevacunoCU completa
8cedajuan755@gmail.com•••••••••accounts.claveunica + mevacunoCU completa
9cristian.mendez.p@gmail.com•••••••••mevacuno + app.mevacuno.clCU parcial
10karinschlie@hotmail.com•••••••••••••accounts.claveunica + mevacunoCU completa
11pedro24allendes@gmail.com••••••••••mevacuno + accounts.claveunicaCU completa
12pmonicapalma@gmail.com••••••••claveunica.gob.clCU completa
⋯ 26 registros adicionales · Total: 38 credenciales Clave Única · Filtrar en Base de Inteligencia de Brechas: origin:claveunica.gob.cl
ALTO   Portales Extranjería + Interior — 13 registros (trámites migratorios + control movilidad)
extranjeria.gob.cl — 9 registros
EmailContraseñaPortal
marcos_lm11@hotmail.com•••••••reservahora+ora
oscartorres_1426@hotmail.com•••••••••••tramites+extranjeria
jimmyfcolemos@hotmail.com•••••••••••••tramites+extranjeria
jocacody@gmail.com••••••••••reservahora
narciliss25@gmail.com•••••••••tramites+extranjeria
roberivero96morales@gmail.com••••••••tramites+extranjeria
vicky*@gmail.com••••••••tramites+extranjeria
interior.gob.cl — 4 registros (cmv.interior.gob.cl)
EmailContraseña
andy.resa29@gmail.com••••••••••
wilsonfernandezgutierrez@gmail.com•••••••••••••••••
kanny24@gmail.com•••••••••
N/AMISSING-PASS
cmv.interior.gob.cl = Control de Movilidad del Ministerio del Interior. Maneja datos de movimiento y permisos ciudadanos.
ANÁLISIS   Patrones de Contraseñas — 1000 muestras · 80% débiles o medias
Distribución por Fortaleza
CategoríaN%Indicador
Débiles ≤8 chars26626%
Medias 9-12 chars54754%
Fuertes >12 chars18718%
Con especiales16816%
Solo dígitos656%
Con mayúscula37937%
Patrones Detectados (click para revelar)
PatrónEjemplos capturados
Nombre+año (SAG)•••••••••••••••••••••••
Nombre propio•••••••••••••••••••••
Palabra+mes (rotación)•••••••••••••••••••••
Diccionario simple•••••••••••••••••••
RUT/número personal••••••••••••••••
Compleja larga ✅•••••••••••••••••
80% de las contraseñas son débiles o medias. El patrón MagnificaIlusi0n+Mes es predecible una vez conocida la base. Los RUTs como contraseña son especialmente peligrosos en Chile (dato semi-público). Se requiere política de contraseñas mínimo 14 chars + gestor corporativo.
ALTO   Vector mevacuno.gob.cl — 970 capturas (97% del total) · Portal COVID como pivot hacia servicios del Estado
📊 El portal de vacunación COVID concentra el 97% de los registros. Durante la campaña 2021-2022, chilenos accedieron desde equipos infectados con infostealer. Los mismos equipos tenían sesiones activas en Clave Única, SAG, Extranjería e ISPCH, convirtiendo mevacuno.gob.cl en un pivot de acceso secundario hacia el Estado.
Distribución por dominio de email (970 registros)
DominioRegistrosBarra
@gmail.com830
@hotmail.com82
@sag.gob.cl10
@outlook.com6
@hotmail.es/cl5
@live.com4
@colegioelboldo.cl2
Otros dominios61
Portales co-capturados (mismos equipos infectados)
Portal secundarioHitsCriticidad
accounts.claveunica.gob.cl21CRIT
up.ispch.gob.cl13HIGH
tramites.extranjeria.gob.cl7HIGH
owa.sag.gob.cl5CRIT
sso.sag.gob.cl5CRIT
cmv.interior.gob.cl4HIGH
www.leylobby.gob.cl3MED
reservahora.extranjeria3MED
INVENTARIO   Tabla Completa — 17 portales gob.cl + estado de compromiso
Portal / SubdominioRegistros% totalEstadoContexto
mevacuno.gob.cl97097%ComprometidoPortal vacunación COVID — vector principal
accounts.claveunica.gob.cl212.1%ComprometidoIdentidad nacional
claveunica.gob.cl212.1%ComprometidoIdentidad nacional
up.ispch.gob.cl131.3%ComprometidoISPCH salud pública
ca.gob.cl90.9%Comprometido
tramites.extranjeria.gob.cl70.7%EvidenciaTrámites migratorios
extranjeria.gob.cl50.5%Evidencia
owa.sag.gob.cl50.5%CRIT · OWACorreo institucional SAG
sso.sag.gob.cl50.5%CRIT · SSOAcceso unificado SAG
cmv.interior.gob.cl40.4%EvidenciaControl Movilidad Interior
ceropapel.sag.gob.cl40.4%EvidenciaSAG interno
reservahora.extranjeria.gob.cl30.3%Evidencia
enviopostalesdesa.sag.gob.cl30.3%EvidenciaSAG desarrollo
www.leylobby.gob.cl30.3%EvidenciaTransparencia
ora.extranjeria.gob.cl20.2%Evidencia
academia.sag.gob.cl20.2%Evidencia
sra.sag.gob.cl20.2%Evidencia
csirtdefensa.cl (todos)00%✅ Sin exposiciónCSIRT Defensa — higiene ejemplar
🔴
Hallazgos OSINT Consolidados
#ObjetivoSeveridadHallazgoDetalleEvidencia
F-01gob.clCRITDMARC no aplicadov=dmarc1; p=none — cualquier actor puede enviar email @gob.cl sin rechazo. Riesgo nacional de phishing gubernamental masivo._dmarc.gob.cl TXT
F-02claveUnica.gob.clCRITBackend API expuestoiam-backend.claveunica.gob.cl resuelve a 3 IPs AWS públicas (54.201.19.46 / 44.253.118.133 / 100.22.53.225). Endpoint de identidad nacional visible en CSP.CSP header + DNS A
F-03csirtdefensa.clCRITSistema tickets expuesto offshoreticket.csirtdefensa.cl hospedado en Radware (São Paulo, Brasil - AS25773). El sistema de reporte de incidentes del CSIRT de defensa está en infraestructura extranjera privada.ipinfo.io + HTTP title
F-04csirtdefensa.clCRITAdmin email expuesto en SOASOA revela: administrator@csirtdefensa.cl como email de zona DNS. Objetivo válido para spearphishing / credential stuffing M365.dig SOA csirtdefensa.cl
F-05csirtdefensa.clHIGHMicrosoft 365 Tenant confirmadoTenant ID eb9995b2-9414-4b61-a523-0e834a11772a. NameSpaceType: Managed. Superficie de ataque para password spray, OAuth abuse, adversary-in-the-middle.OpenID Config + GetUserRealm
F-06gob.clHIGHintranet.gob.cl sin WAF conocido163.247.175.147 / 163.247.172.147 — IPs gubernamentales propias sin evidencia de WAF frontal. Acceso directo a intranet gubernamental.DNS A + ipinfo.io
F-07gob.clHIGHMúltiples proveedores cloud sin política visibleAWS, Cloudflare, CloudFront, Orbyta SA (200.91.46.97) para diferentes subservicios. Fragmentación de responsabilidad de seguridad. chile.gob.cl en Orbyta SA (proveedor local).ipinfo.io multi-IP
F-08csirtdefensa.clHIGHLaravel AdminLTE en ticket systemStack identificado: Laravel (PHP), AdminLTE, icheck-bootstrap, DataTables 1.10.19, SweetAlert2, DateRangePicker. CVEs potenciales según versión de Laravel deployada.HTML source ticket.csirtdefensa.cl
F-09gob.clHIGHMS=BAF48BBE token expuestoTXT record csirtdefensa.cl incluye token de verificación Microsoft: MS=BAF48BBED50CD1F28BE483779073529D056C51D0. Confirma dominio vinculado a tenant M365.dig TXT csirtdefensa.cl
F-10claveUnica.gob.clHIGHMouseFlow analytics en identidad nacionalCSP permite cdn.mouseflow.com y *.mouseflow.com en connect-src. MouseFlow registra sesiones (posible grabación de interacciones en plataforma de autenticación ciudadana).CSP header claveunica.gob.cl
F-11csirtdefensa.clMEDMX internos accesibles200.111.102.230 (ENTEL Chile) y 163.247.67.11 (Min. Interior) configurados como MX de respaldo internos en SPF. IPs directas de servidores de correo.SPF record + ipinfo.io
F-12gob.clMEDunsafe-inline en CSP claveUnicascript-src y style-src incluyen 'unsafe-inline'. Debilita la protección XSS de la plataforma de identidad nacional. Riesgo de inyección de scripts.CSP header
F-13gob.clMEDX-Cache error en claveUnicaHeader x-cache: Error from cloudfront + age: 71489s. Posible desincronización de caché. El front-end puede estar sirviendo versión desactualizada.HTTP headers claveunica.gob.cl
F-14gob.clMEDsii.gob.cl en red separadaAS15208 (Servicio de Impuestos Internos) — infraestructura completamente independiente del ASN 17147 principal. Superficie de ataque separada para entidad tributaria nacional.ipinfo.io 200.10.251.221
🌍
Tabla de Dominios
DominioIP(s)ASN / OrgWAFNotas
csirtdefensa.clSin ADominio raíz sin IP pública (posible hardening)
gob.cl76.223.86.196 / 13.248.194.103AS16509 AmazonAWS GAccGlobal Accelerator anycast
www.gob.cl104.21.11.171 / 172.67.166.176AS13335 CloudflareCloudflareCDN + WAF Cloudflare
ticket.csirtdefensa.cl66.22.101.65AS25773 Radware / São Paulo BRRadwareSistema de reporte incidentes — offshore
claveunica.gob.cl13.226.251.x (×4)AS16509 Amazon CloudFrontCloudFrontIdentidad nacional — S3+CF
iam-backend.claveunica.gob.cl54.201.19.46 / 44.253.118.133 / 100.22.53.225AS16509 AWS OregonSin WAFAPI backend identidad — CRÍTICO
api.claveunica.gob.cl54.69.65.150 / 44.226.77.165 / 16.144.172.134AS16509 AWSUnknownAPI endpoint adicional
intranet.gob.cl163.247.175.147 / 163.247.172.147AS17147 Min. Interior CLSin WAFIntranet gubernamental directa
digital.gob.cl16.146.238.69 / 34.208.117.176 / 44.238.255.162AS16509 AWSUnknownDivisión digital gubernamental
sii.gob.cl200.10.251.221 / 200.10.252.221AS15208 SII ChileUnknownServicio de Impuestos Internos — ASN propio
chile.gob.cl200.91.46.97AS262237 Orbyta SA · SantiagoUnknownProveedor local privado
chileatiende.gob.cl3.211.160.157 (y más)AS14618 AmazonAWSPortal ciudadano servicios
tramites.gob.cl52.32.101.104 (y más)AS16509 AWS OregonAWSTrámites en línea
datos.gob.cl34.211.62.107 (y más)AS16509 AWSAWSPortal datos abiertos
ips.gob.cl18.154.101.x (×4)AS16509 CloudFrontCloudFrontInstituto de Previsión Social
🔗
Subdominios Descubiertos
🔴 ticket.csirtdefensa.cl
IP: 66.22.101.65 · Radware WAF · São Paulo BR
App: Laravel/AdminLTE · Ticketing system CSIRT defensa
Offshore · CRIT
🟠 iam-backend.claveunica.gob.cl
IPs: 54.201.19.46 / 44.253.118.133 / 100.22.53.225
AWS Oregon · Backend API identidad nacional
Sin WAF · 3 IPs exp.
🟠 api.claveunica.gob.cl
IPs: 54.69.65.150 / 44.226.77.165 / 16.144.172.134
AWS · API endpoint adicional claveUnica
API expuesta
🟠 intranet.gob.cl
IPs: 163.247.175.147 / 163.247.172.147
ASN17147 · Min. Interior · Sin WAF identificado
Intranet directa
🟡 mail.gob.cl
IP: 163.247.70.70 · ASN17147 Min. Interior
Servidor de correo gubernamental propio
MX interno
🟡 chile.gob.cl
IP: 200.91.46.97 · Orbyta SA (proveedor local privado)
Portal identidad chilena — proveedor externo
Proveedor privado
🔵 claveunica.gob.cl
IPs: 13.226.251.x (×4) · CloudFront
Identidad nacional · S3 + CloudFront
Alta criticidad nacional
🔵 www.gob.cl
IPs: 104.21.11.171 / 172.67.166.176 · Cloudflare
Portal principal · CDN+WAF Cloudflare
CF protegido
🔵 digital.gob.cl
IPs: 16.146.238.69 / 34.208.117.176 / 44.238.255.162
División de Gobierno Digital · AWS
503 en recon
🔵 tramites.gob.cl
IPs: 52.32.101.104 / 52.38.193.11 / 44.225.30.235
Trámites en línea · AWS Oregon
AWS
🔵 datos.gob.cl
IPs: 34.211.62.107 / 44.246.67.89 / 54.68.182.103
Portal datos abiertos gobierno · AWS
AWS
🔵 sii.gob.cl
IPs: 200.10.251.221 / 200.10.252.221
AS15208 · Red propia SII Chile · Alta criticidad tributaria
ASN propio
🔵 chileatiende.gob.cl
IPs: 3.211.160.157 / 52.54.134.10 / 34.231.49.216
Portal servicios ciudadanos · AWS US-East
AWS
🔵 ips.gob.cl
IPs: 18.154.101.x (×4) · CloudFront
Instituto de Previsión Social · AWS
CloudFront
🔵 ns.gob.cl / ns2 / ns6 / ns7
163.247.54.111 / 163.247.75.25 / etc.
Servidores DNS autoritativos propios
DNS infra
🗺
Geographic Footprint
Distribución de Infraestructura
🇨🇱 Santiago, Chile
AS17147 Min. Interior · AS15208 SII · AS27651 ENTEL Chile · AS262237 Orbyta
IPs: 163.247.x.x / 200.10.x / 200.111.x / 200.91.x
Datacenter local
🇺🇸 Oregon/US-West-2 (AWS)
iam-backend.claveunica.gob.cl · api.claveunica.gob.cl · tramites.gob.cl · datos.gob.cl
Datos sensibles US
🇺🇸 US-East / Ashburn (AWS)
chileatiende.gob.cl · ips.gob.cl (CloudFront)
ClaveUnica frontend (13.226.251.x)
Multi-región CF
🇧🇷 São Paulo, Brasil (Radware)
ticket.csirtdefensa.cl → 66.22.101.65 AS25773 RADWARE INC.
Sistema de incidentes CSIRT en nodo extranjero privado
Offshore · CRÍTICO
🌐 Global (Cloudflare)
www.gob.cl → Cloudflare anycast global
Proofpoint MX → 66.159.241.119 / 66.159.239.92
Anycast global
Resumen ASN
ASNOrganizaciónPaísIPs
AS17147Min. Interior y Seg. Pública - Gobierno CL🇨🇱 CL6
AS16509Amazon.com Inc. (AWS)🇺🇸 US~12
AS13335Cloudflare Inc.🌐 Global2
AS27651ENTEL Chile S.A.🇨🇱 CL2
AS15208Servicio Impuestos Internos🇨🇱 CL2
AS25773Radware Inc.🇧🇷 BR1
AS262237Orbyta S.A.🇨🇱 CL1
AS14618Amazon.com Inc. (EC2)🇺🇸 US3
🖥
Tabla de IPs e Infraestructura
IPDominioASN · OrgCiudadRol
66.22.101.65ticket.csirtdefensa.clAS25773 · RadwareSão Paulo, BR 🇧🇷Ticketing offshore
200.111.102.230mx-01.csirtdefensa.clAS27651 · ENTEL ChileSantiago, CL 🇨🇱MX interno CSIRT
163.247.67.11mx-02.csirtdefensa.clAS17147 · Min. InteriorSantiago, CL 🇨🇱MX interno CSIRT
200.111.102.231ns01.csirtdefensa.clAS27651 · ENTEL ChileSantiago, CL 🇨🇱DNS NS primario
163.247.67.15ns02.csirtdefensa.clAS17147 · Min. InteriorSantiago, CL 🇨🇱DNS NS secundario
76.223.86.196gob.cl (anycast)AS16509 · AmazonSeattle, US 🇺🇸AWS Global Accelerator
13.248.194.103gob.cl (anycast)AS16509 · AmazonSeattle, US 🇺🇸AWS Global Accelerator
104.21.11.171www.gob.clAS13335 · CloudflareSan Francisco 🌐Cloudflare WAF/CDN
172.67.166.176www.gob.clAS13335 · CloudflareSan Francisco 🌐Cloudflare WAF/CDN
163.247.70.70mail.gob.clAS17147 · Min. InteriorSantiago, CL 🇨🇱Mail server gov
163.247.175.147intranet.gob.clAS17147 · Min. InteriorSantiago, CL 🇨🇱Intranet directa
13.226.251.xclaveunica.gob.clAS16509 · CloudFrontUS (anycast) 🌐Identidad nacional frontend
54.201.19.46iam-backend.claveunicaAS16509 · AWS OregonBoardman, US 🇺🇸IAM API backend
200.10.251.221sii.gob.clAS15208 · SII ChileSantiago, CL 🇨🇱Impuestos internos
200.91.46.97chile.gob.clAS262237 · Orbyta SASantiago, CL 🇨🇱Proveedor local privado
66.159.241.119mxa.pphosted.com— · ProofpointUS 🇺🇸MX relay CSIRT (Proofpoint)
🏛
Estructura Corporativa / Institucional
Entidad 1: CSIRT de la Defensa Nacional
Dominio: csirtdefensa.cl
Tipo: Organismo Público · Defensa Nacional Chile
Tenant M365: eb9995b2-9414-4b61-a523-0e834a11772a
Email admin: administrator@csirtdefensa.cl
NS primario: ns01.csirtdefensa.cl (ENTEL)
NS secundario: ns02.csirtdefensa.cl (Min. Interior)
MX: Proofpoint + 2 MX internos
DMARC: p=reject ✓ (bien configurado)
Sistema tickets: ticket.csirtdefensa.cl (OFFSHORE)
Entidad 2: Portal Único Gobierno de Chile
Dominio: gob.cl
Gestor: Ministerio del Interior y Seguridad Pública
ASN principal: AS17147 (163.247.x.x)
NS: a.nic.cl + b.nic.cl + ns*.gob.cl
SPF: v=spf1 -all (estricto)
DMARC: p=none ⚠ (NO aplicado)
Servicios: claveUnica · tramites · datos · sii · ips · digital
Cloud: AWS + Cloudflare + CloudFront + Orbyta
Tenant M365: No detectado (dominio gob.cl)
🔧
Proveedores IT Identificados
🛡
Proofpoint
Email Security · MX relay CSIRT
Amazon AWS
Multi-servicio · Oregon + US-East
🌐
Cloudflare
CDN + WAF · www.gob.cl
🔒
Radware
WAF + DDoS · ticket system offshore
💼
Microsoft 365
Email + Colaboración · CSIRT
📊
Google Analytics + GTM
Analytics · claveUnica.gob.cl
👁
MouseFlow
Session recording · claveUnica ⚠
🏢
ENTEL Chile
ISP · NS01 + MX1 CSIRT
🇨🇱
Orbyta SA
Hosting local privado · chile.gob.cl
AdminLTE + Laravel
Framework web · ticket.csirtdefensa.cl
🔑
Identificadores Técnicos
TipoValorObjetivoRelevancia
M365 Tenant IDeb9995b2-9414-4b61-a523-0e834a11772acsirtdefensa.clPhishing / BF target
MS Verification TokenMS=BAF48BBED50CD1F28BE483779073529D056C51D0csirtdefensa.clConfirma tenant M365
Proofpoint account ID003cc901 (mxa/mxb-003cc901.gslb.pphosted.com)csirtdefensa.clID cuenta Proofpoint
SOA Admin Emailadministrator@csirtdefensa.clcsirtdefensa.clSpearphishing target
CSRF Token (sample)dJ1N24Jv0kRtuolKgMfiyBWtMMxqZDozODGBCpJ3ticket.csirtdefensa.clToken rotativo (sin valor persistente)
Google Tag Managerwww.googletagmanager.comclaveunica.gob.clAnalytics tracking nacional
MouseFlow trackercdn.mouseflow.comclaveunica.gob.clSession recording auth
AES256 encryptionx-amz-server-side-encryption: AES256claveunica.gob.cl (S3)Cifrado en reposo confirmado
CloudFront IDzwU7asF__hser-35Jiszy5J3Uit9XxS8_VZINSbzAb...claveunica.gob.clCF distribution ID
Cookie anti-bot__uzma (Uzol/BotManager) en ticket systemticket.csirtdefensa.clAnti-bot fingerprinting
🛡
Roadmap de Remediación
⚡ 0-7 días · URGENTE
Acciones inmediatas
Escalar DMARC gob.cl de p=none a p=quarantine mínimo
Revisar MouseFlow en claveUnica — ¿graba sesiones de auth?
Auditar acceso a iam-backend.claveunica.gob.cl — restringir a IPs conocidas
Verificar versión de Laravel en ticket.csirtdefensa.cl — CVEs pendientes
📅 30 días · ALTO
Mejoras de corto plazo
Migrar ticket.csirtdefensa.cl a infraestructura nacional o zona confiable
Implementar MFA obligatorio en M365 (tenant csirtdefensa.cl)
Agregar WAF explícito frente a intranet.gob.cl
Evaluar reemplazar unsafe-inline en CSP de claveUnica
📅 60 días · MEDIO
Mejoras estructurales
Subir DMARC gob.cl a p=reject con monitoreo rua
Política de proveedores cloud — centralizar en AWS Chile region u on-prem
Implementar BIMI en csirtdefensa.cl (ya tiene DMARC p=reject)
Auditar contratos con Orbyta SA para chile.gob.cl (SLA, seguridad)
📅 90 días · ESTRATÉGICO
Madurez y sostenibilidad
Revisión arquitectura multi-nube gob.cl — política de soberanía de datos
Implementar monitoreo continuo de subdominios (CT logs)
Programa de hunting de typosquats gubernamentales
Revisión anual de proveedores IT externos con nivel de riesgo
🔄
Threat Intel Pivots
🎯 Pivot: Tenant M365 csirtdefensa.cl
Tenant ID confirmado. Pivotar a: AADInternals (enumeración usuarios), MSOLSpray (password spray), Evilginx2 (adversary-in-middle). Objetivo: credenciales M365 del CSIRT de Defensa.
🎯 Pivot: DMARC p=none gob.cl
Spoofing de @gob.cl posible. Pivotar a: campañas de phishing a ciudadanos chilenos. GOBFake como typosquat potencial: g0b.cl, gob-cl.com, gobchile.cl, etc.
🔍 Pivot: 003cc901 Proofpoint
Account ID de Proofpoint identificado. Buscar en logs de campañas de phishing conocidas si este account ID aparece como relay origin. Fuentes: URLhaus, PhishTank.
🔍 Pivot: ASN 17147
Red gubernamental 163.247.x.x — buscar CVEs públicos, Shodan queries: org:"Ministerio del Interior" country:CL. Posibles sistemas expuestos en red Gov CL.
🔍 Pivot: Laravel/AdminLTE
Stack identificado en ticket.csirtdefensa.cl. Buscar CVEs Laravel según versión. Comprobar rutas públicas Laravel: /storage, /.env, /api/user, /telescope.
🔍 Pivot: Radware AS25773
Otros clientes en mismo bloque IP de Radware (São Paulo). Revisar si hay vecinos sensibles compartiendo infraestructura. Fuentes: Shodan ASN lookup.
📧 Pivot: administrator@csirtdefensa.cl
Email administrativo expuesto. Verificar en HIBP/DeHashed si este email aparece en breaches conocidos. No incluir plaintext de passwords.
🏢 Pivot: Orbyta SA
Proveedor privado local hospedando chile.gob.cl. Investigar contratos públicos (Mercado Público CL), historial de seguridad, si tienen otros clientes gubernamentales.
📚
Fuentes Consultadas
🌐 DNS Pasivo
dig / nslookup · Python dnspython 2.7
Registros: A, AAAA, MX, NS, TXT, SOA, CNAME, DMARC, DKIM
Fuente: Resolución DNS pública
🔍 Certificate Transparency
crt.sh (timeout en esta sesión)
RapidDNS (no consultado — red restringida)
Alternativa: securitytrails.com
🏢 IP Intelligence
ipinfo.io/API (sin auth)
PTR records via socket.gethostbyaddr()
ASN lookup para 16 IPs clave
☁ Cloud Tenant
login.microsoftonline.com/openid-configuration
login.microsoftonline.com/getuserrealm.srf
Tenant M365 confirmado csirtdefensa.cl
🌐 HTTP Headers
urllib.request Python — fetch pasivo
ticket.csirtdefensa.cl · claveunica.gob.cl
CSP, Set-Cookie, X-Frame-Options analizados
🔗 HTML Source Analysis
ticket.csirtdefensa.cl (12.5KB)
Fingerprint: Laravel + AdminLTE + DataTables
icheck-bootstrap + SweetAlert2 + DateRangePicker
🔑 MS365 Enumeration
GetUserRealm.srf endpoint
OpenID Connect discovery
Tenant ID + NameSpaceType extraídos
⚠ No consultadas (red)
Shodan InternetDB (bloqueado)
crt.sh (timeout)
RapidDNS (timeout)
HIBP (no consultado)
Metodología: 100% reconocimiento pasivo. No se realizó escaneo de puertos, brute-force de credenciales, ni acceso a recursos no públicos. Todas las fuentes son acceso abierto. El presente informe tiene carácter defensivo y de concienciación de seguridad. TLP:AMBER — distribución interna solamente.
Q-Mission ForceGen 2.0
OSINT Unit
csirtdefensa.cl + gob.cl
Gobierno de Chile · Reconocimiento Pasivo
TLP:AMBER
Generado: 04 Junio 2026 · v1.Rev.A
Q-Mission ForceGen 2.0 · Solo distribución interna