Recorrido Cibernetico de Cuba

Evaluacion de infraestructura gubernamental, militar y de empresas estatales — desde el conglomerado de 18.000 millones de dolares de GAESA hasta APIs sin autenticacion que filtran datos de ciudadanos.

Los militares controlan la economia. Mapeamos la infraestructura que olvidaron proteger.

← Volver a Recorridos Ciberneticos
2,052 Dominios Analizados
31,684 Registros de Pago Expuestos
5,313 Registros Estudiantiles con PII
805 Sucursales Bancarias (GPS)
131 Dominios Gubernamentales (V1)
42 Subsidiarias de GAESA
13,800+ Correos Unicos Filtrados
307 MB Evidencia Total

Sobre esta investigacion

Evaluacion OSINT en dos fases de la infraestructura gubernamental cubana. V1 (enero de 2026) documento 131 dominios .gob.cu en 20 categorias — presidencia, ministerios, fuerzas armadas, medios estatales, infraestructura, poder judicial y empresas del Estado. V2 (marzo de 2026) amplio el alcance a 2.052 dominios mediante transparencia de certificados y enumeracion DNS, revelando la huella digital del conglomerado militar GAESA, un proveedor de software con un punto unico de falla catastrofico (Guajiritos S.R.L.) y APIs sin autenticacion que exponen decenas de miles de registros de pago con PII de clientes. Todos los datos se obtuvieron de forma pasiva mediante rotacion multinodo sobre Tor — sin explotacion y sin necesidad de autenticacion.

GAESA: los militares tambien controlan internet

GAESA (Grupo de Administración Empresarial S.A.) es el conglomerado empresarial de las fuerzas armadas cubanas y controla aproximadamente el 40% de la economia nacional y el 95% de las transacciones en moneda extranjera. De 42 subsidiarias analizadas, 34 no tienen ningun registro DNS — una opacidad digital total. Pero el 20% que si esta en linea comparte un unico proveedor de software, un unico certificado SSL y un unico conjunto de APIs sin autenticacion. Una sola empresa — Guajiritos S.R.L. — construye y opera toda la infraestructura TI turistica de mas de 20 empresas de GAESA. Un compromiso de Guajiritos implicaria comprometer toda la infraestructura cubana de reservas turisticas, marinas militares, turismo medico y flota de autos de alquiler.

Red Turistica de GAESA

7 empresas, 1 certificado SSL, todo compartido

EmpresaDominioFuncion
Havanatur S.A.*.havanatursa.comPlataforma principal de reservas (12 subdominios API)
Grupo Cubanacan*.grupocubanacan.comGrupo turistico
Marinas Gaviota S.A.*.marinasgaviotasa.comMarina militar / turismo nautico
Cubanacan S.A.*.cubanacansa.comOperador turistico
Okaturs*.okaturs.comOperador turistico
CIS La Pradera*.cislapradera.comTurismo medico / Centro Internacional de Salud
Ofertas Travel*.ofertastravel.comOperador turistico

Hallazgos Criticos

Datos expuestos sin autenticacion en infraestructura estatal y militar cubana

HallazgoFuenteImpacto
31,684 registros de pago con PII de clientesGAESA tourism APIs13,800+ correos, 27,500+ numeros de telefono
Inventario completo de la flota de alquilerHavanatur API156 vehiculos, precios y disponibilidad
805 sucursales bancarias con coordenadas GPSBanco Central APIMapa completo de la infraestructura financiera
Sistema triple de tipo de cambio expuestoBanco Central APITasas oficiales, informales y cripto
5,313 registros estudiantiles con cedulas nacionalesGitLab de UCLVPII completa: nombres, numeros de CI y datos de matricula
Laravel APP_KEY + credenciales de base de datosGitLab de UCLV commitsCapacidad potencial de ejecucion remota de codigo
Hashes de contrasenas bcryptGitLab de UCLVRiesgo de robo de credenciales
Password grant de OpenID ConnectUCLV auth systemEndpoint directo de autenticacion por contrasena
PII de empleados de ETECSA en certificado SSLCertificate transparencyFiltracion de datos organizacionales internos
Enumeracion de usuarios WordPress (14 cuentas)Salud, educacion y medios .gob.cuHashes de Gravatar y objetivos de acceso
Coordenadas GPS del cuartel general de MINFARMetadatos publicosAvenida Independencia, La Habana 10400
12 IDs de Google Analytics mapeadosSitios web gubernamentalesRastreo entre sitios y mapeo de relaciones

Credenciales y Secretos

Credenciales expuestas, hashes de contrasenas, claves API y PII a lo largo de ambas evaluaciones

🔑
Informe V2 de Credenciales Expuestas
Laravel APP_KEY (RCE), contrasenas root de BD, hashes bcrypt y password grant de OpenID
Ver
🔑
Todas las Credenciales de V1
Credenciales recopiladas de 131 dominios gubernamentales
Ver
🔐
Hashes de Contrasenas de WordPress
Todos los hashes WP recolectados en dominios .gob.cu
Ver
🔐
Hashes de Gravatar
Hashes de correo obtenidos por enumeracion de usuarios WordPress
Ver
📧
Lista Maestra de Correos
64 direcciones de correo gubernamental extraidas
Ver
👤
Todos los Nombres de Usuario
14 cuentas enumeradas en plataformas CMS gubernamentales
Ver
📞
Numeros de Telefono
Numeros telefonicos gubernamentales extraidos de la infraestructura
Ver
👤
Cuentas de Redes Sociales
Cuentas oficiales identificadas en redes sociales
Ver
🔧
Filtraciones de Configuracion
Configuraciones de servidor y endpoints de depuracion expuestos
Explorar
🔥
Cuba Pwned
Publicaciones OSINT y evidencia visual
Explorar

V1 — Recoleccion de Infraestructura Gubernamental

131 dominios en 20 categorias — enero de 2026

🏛
01 — Presidencia
Poder ejecutivo y Partido Comunista (PCC)
Explorar
🏛
02 — Ministerios
Infraestructura de ministerios gubernamentales
Explorar
🛡
03 — Fuerzas Armadas y Seguridad
MINFAR, MININT, Aduana
Explorar
📺
04 — Medios Estatales
Granma, Cubadebate, Radio Rebelde, Juventud Rebelde
Explorar
05 — Infraestructura
ETECSA, servicios publicos y telecomunicaciones
Explorar
06 — Poder Judicial
Tribunales y fiscalias
Explorar
🏛
07 — Otro Gobierno
Bancos, salud, educacion y empresas estatales
Explorar
📄
08 — Codigo Fuente HTML
Copias HTML fuera de linea de sitios gubernamentales
Explorar
🔒
09 — Certificados SSL
16 certificados recolectados y analizados
Explorar
🔌
10 — APIs
Endpoints API descubiertos
Explorar
🔎
11 — IDs de Rastreo
12 IDs de Google Analytics mapeados
Explorar
💻
12 — Pilas Tecnologicas
CMS, frameworks y huellas de servidor
Explorar
🚨
13 — Hallazgos Criticos
Exposiciones de alta severidad
Explorar
🤖
14 — Hallazgos con IA
Resultados de analisis asistido por IA
Explorar
🗃
15 — Volcados en Bruto
Extraccion de datos en bruto
Explorar
🗃
16 — Exportaciones en Bruto
Datos exportados del escaneo
Explorar
🔑
17 — Credenciales Expuestas
Credenciales y secretos descubiertos
Explorar
🔧
18 — Filtraciones de Configuracion
Archivos de configuracion expuestos
Explorar
📊
19 — Resumen de Rastreo
Mapa de relaciones de rastreo entre sitios
Explorar
📄
20 — Informes
Informes OSINT maestros
Explorar

V2 — GAESA e Infraestructura Profunda

2,052 dominios — conglomerado militar, GitLab universitario y APIs bancarias — marzo de 2026

📄
Informe de Hallazgos V2
Informe maestro de 838 lineas — GAESA, Guajiritos, registros de pago, PII estudiantil y credenciales
Ver
🔑
Credenciales Expuestas
Credenciales de bases de datos, APP_KEYs y secretos de la evaluacion V2
Explorar
🗃
Volcados del Turismo de GAESA
Registros de pago y datos de flota de la red turistica militar
Explorar
🗃
Volcados de la API de Havanatur
Sistema de reservas, flota de alquiler y datos de clientes
Explorar
🗃
Infraestructura de Guajiritos
TI turistica de un solo proveedor — evidencia de una base de codigo compartida
Explorar
🏦
Volcados del Banco Central
805 sucursales bancarias, coordenadas GPS y tasas de cambio
Explorar
🎓
GitLab de UCLV
5,313 registros estudiantiles, credenciales Laravel y hashes bcrypt
Explorar
🛡
Datos de MINFAR
Datos de infraestructura militar
Explorar
🎓
Escaneos Universitarios
Evaluacion de infraestructura de educacion superior
Explorar
🚌
Datos de WeTransp
Volcados de infraestructura de transporte
Explorar

© 2026 Observatory for Digital Infrastructure and Network Transparency. Organizacion independiente sin fines de lucro.

Inicio · Privacidad · Terminos

Donar