← Back to Cyber Tours

El gobierno sin cerrojo

Una auditoría OSINT pasiva a nivel nacional de la infraestructura.gouv.htde Haití mapeó más de 50 dominios gubernamentales, 710 MB de evidencia, una solicitud de impuestos nacional abierta, 3233 registros de ciudadanos y un dominio de la Policía Nacional secuestrado. Nada fue forzado. No había nada cerrado.

Por el Equipo de Investigación ODINT – 2026

Vistas:...

.GOUV.HT HAITI 3.233 REGISTROS DE PII Investigación OSINT

Estadísticas de campaña

Un único barrido de reconocimiento pasivo contra el patrimonio web del gobierno de Haití (ministerios, organismos de supervisión financiera, el aparato de seguridad y subdominios descubiertos con transparencia de certificados) produjo los siguientes resultados agregados. Cada solicitud era un HTTPGETno autenticado. No se utilizaron credenciales. No se vulneró ningún sistema.

710 MB Evidencia recopilada
50+ Dominios .gouv.ht investigados
3,233 PII de los candidatos aduaneros
6 Exposiciones críticas
227 Documentos analizados
1,365 Imágenes EXIF ​​escaneadas
194 Archivos API no autenticados
18 Identidades del gobierno expuestas
Archivo completo de evidencia sin procesar Explore la colección completa de OSINT de Haití (capturas por agencia, informes de reconocimiento y corpus de documentos/PII) en el servidor de datos de ODINT.
Explorar archivo

Comenzó con una lista de directorio

No hubo ninguna hazaña. Había una URL.

curl -s https://civitax.gouv.ht/

civitax.gouv.htes la aplicación de administración tributaria municipal de Haití: el sistema que maneja los registros del censo de propiedades (Recensement) y de facturación de impuestos (Bordereau) para los ciudadanos. El servidor no devolvió un muro de inicio de sesión. Devolvió una lista completa del directoriode toda la aplicación: archivos fuente, páginas de informes, módulos de estadísticas, páginas de administración de seguridad (Edit_User,GroupRights) y archivos descargables.rarde los módulos Recensement y Bordereau.

La aplicación ejecutaTelerik UIv2013.3.1015.40, una pila de componentes vulnerable aCVE-2017-9248(debilidad criptográfica) yCVE-2019-18935(ejecución remota de código no autenticado). El punto final TelerikDialogHandler.aspxrespondió con200 OK. Existía el controlador IIStrace.axd. Lo que se suponía que era un sistema fiscal gubernamental controlado era, en la práctica, un archivador abierto con el cajón ya abierto.

No se requirió autenticación. No se implementó ningún exploit. El índice del directorio era público por configuración... o por negligencia. Desde el punto de vista del ciudadano, la diferencia no importa.

Objetivos evaluados

La investigación barrió el patrimonio del gobierno de Haití en capas: 13 dominios ministeriales, 15 agencias financieras y de supervisión, 9 dominios militares y de seguridad, 13 subdominios de transparencia de certificados nunca antes evaluados y 20 objetivos de correo cPanel/descubrimiento automático. Los hallazgos a continuación son los que importan.

civitax.gouv.ht
Solicitud de Impuesto Nacional Municipal — CRÍTICA
Listado completo del directorio de toda la aplicación de impuestos expuesta. Telerik UI 2013 conCVE-2017-9248yCVE-2019-18935(RCE no autenticado). Archivos RAR descargables de los módulos Recensement (censo de propiedades) y Bordereau (facturación de impuestos). Páginas de administración de seguridad accesibles sin autenticación.
pnh.gouv.ht
Policía Nacional de Haití — DOMINIO SECUESTRADO
El dominio oficial de la Policía Nacional ya no sirve a la Policía Nacional. Sirve una plataforma de estafa"Cash Rocket / smocup-cashads". El certificado TLS se emite acashads.smocup.site, no apnh.gouv.ht. Un dominio nacional de aplicación de la ley ha sido silenciosamente reutilizado para el fraude.
agdmail.douane.gouv.ht
Correo de la Autoridad Aduanera (AGD) — Microsoft Exchange 2016 EXPUESTO
Un servidor Microsoft Exchange 2016 completamente expuesto (compilación15.1.2507.61, IIS/10.0) frente al correo electrónico de la Aduana de Haití. Descubrimiento automático accesible. De todos los dominios investigados, sólo la Aduana publica una política de rechazo DMARC; el resto no aplica nada.
mde.gouv.ht
Ministerio de Medio Ambiente — CRÍTICO (abandonware)
EjecutandoJoomla 3.8.7, lanzado en abril de 2018 y sin parches durante aproximadamente ocho años, detrás de nginx/1.26.3. Un CMS sin mantenimiento tan antiguo en un ministerio en vivo es una invitación permanente.
md.gouv.ht
Ministerio: Enumeración de usuarios de WordPress + Datos de contratación
API REST completa de WordPress con enumeración de usuarios, 168 archivos multimedia, 22 publicaciones, XML-RPC habilitado con más de 80 métodos. Formularios de inscripción militar, un sistema de boletines informativos para empleados y listas de elegibilidad de candidatos accesibles públicamente a través de la API REST. El complemento Code Snippets (ejecución arbitraria de PHP) y la autenticación de contraseña de aplicación están habilitados.
mpce.gouv.ht
Ministerio de Planificación — ALTA
Tema secundario WordPress 6.9.1 + Divi en Apache, que responde200con una superficie enumerable. Uno de los seis dominios ministeriales vivos de los trece investigados; los otros siete no se resuelven en absoluto en DNS público.

3.233 ciudadanos en una hoja de cálculo

El artefacto más dañino no fue una base de datos. Era un archivo público en el sitio de Aduanas:DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx: la lista completa de3.233 candidatos retenidos para el examende la Aduana de Haití (AGD), cada fila con datos personales completos.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

Existe un gemelo redactado (Liste-des-candidats-retenus-no_phone.xlsx) en el mismo servidor, lo que demuestra que el editor sabía que los números de teléfono eran confidenciales y luego publicó la versión que los contenía de todos modos.

En todo el corpus de documentos más amplio, ODINT analizó227 documentosyescaneadas con EXIF ​​1.365 imágenesrecuperadas de puntos finales del gobierno público. El rendimiento agregado: 59 direcciones de correo electrónico únicas, miles de números de teléfono, identificadores fiscales NIF, personas identificadas, archivos PDF de presupuesto y leyes financieras, y datos operativos de Aduanas (tablas de códigos de contenedores, puertos y almacenes de SYDONIA, incluida una referencia de puertos internacionales de 895 filas). Se enumeraron dieciocho usuarios, autores y comentaristas de WordPress en el banco central (brh.ht), la dirección fiscal (dgi.gouv.ht, donde se registra una cuenta personal de Gmail como autor) y otras agencias, cada una con su hash público de Gravatar.

Un estado en hosting compartido

El hallazgo estructural no es una vulnerabilidad única: es la arquitectura. El gobierno de Haití utiliza hosting compartido. ODINT tomó huellas dactilares de los sitios de ministerio y supervisión enBluehost,SiteGroundyHostingercompartieron planes, varios de los cuales filtraron su origen de alojamiento a través de encabezados de host codificados en base64. WordPress 6.9.1 se repite en agencias no relacionadas, lo que sugiere un mantenedor o plantilla compartido. Del patrimonio financiero y de supervisión, 10 de 15 dominios estaban activos (cinco WordPress, dos Laravel, un October CMS, un IIS/ASP.NET con divulgación detallada de la ruta de error). De nueve dominios militares y de seguridad, siete no existen en el DNS público; el perímetro de seguridad digital del estado haitiano está, en gran parte, simplemente ausente.

Cuando un dominio de la policía nacional puede ser redirigido silenciosamente a una plataforma de fraude y nadie se da cuenta, el problema no es que falte un parche. El problema es que nadie tiene las llaves.

Datos sin procesar y descargas

Toda la evidencia recopilada ha sido archivada y está disponible para investigadores, periodistas y organizaciones de la sociedad civil a través del servidor de datos de ODINT. El archivo publicado contiene las capturas por agencia y los informes de reconocimiento analítico; las herramientas de enumeración utilizadas para recopilarlo se retienen intencionalmente.

Haití — Colección completa — Archivo OSINT completo, todas las agencias e informes.
Navegar
Informe de reconocimiento — Reconocimiento pasivo de la infraestructura web central del ministerio.
Vista
Resultados de la barrida ministerial — 13 dominios ministeriales investigados, 6 activos
Vista
Barrido financiero y de supervisión — 15 dominios de agencias financieras/de supervisión
Vista
Barrido militar y de seguridad — 9 dominios militares/de seguridad incl. Secuestro de pnh.gouv.ht
Vista
Reconocimiento de subdominios de alto valor — Objetivos de transparencia de certificados, incl. civitax.gouv.ht
Vista
Sonda FAES y civitax — Informe de sonda de objetivo de alto valor
Vista
cPanel y reconocimiento de correo electrónico — Infraestructura de correo incl. Bolsa de Aduanas 2016
Vista
Escaneo de pila tecnológica — Huellas digitales de CMS, servidor y marco
Vista
Análisis inverso de Gravatar — Resolución de identidad a partir de hashes públicos de Gravatar
Vista
Informe PII del documento — 227 documentos analizados, hallazgos combinados de PII
Vista
Informe maestro de PII — Extracción de PII agregada de puntos finales API públicos
Vista
DGI — Dirección Tributaria — Capturas de la Dirección General de Importaciones
Navegar
Douane — Aduanas (AGD) — Capturas aduaneras incl. conjunto de documentos candidatos
Navegar
civitax — Aplicación de Impuestos Municipales — Capturas del módulo Recensement y Bordereau
Navegar
BRH — Banco Central — Capturas del Banque de la Republique d'Haiti
Navegar
MD — Ministerio — API REST de WordPress + capturas de medios
Navegar
Documentar correos electrónicos y teléfonos — Identificadores de contactos extraídos del corpus.
Vista
Capturas de ministerios y agencias — DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primatura
Navegar
Informe EXIF — Metadatos de 1365 imágenes escaneadas
Vista
Escaneo web.config — Sonda de exposición de configuración de ASP.NET
Navegar
Índice del mapa del sitio de Yoast — Estructura del mapa del sitio capturada
Vista

Descargo de responsabilidad de OSINT

Este informe se basa íntegramente en inteligencia de código abierto (OSINT). No se accedió a información clasificada. No se utilizaron fuentes confidenciales. No se vulneró ningún sistema. No se eludió ningún mecanismo de autenticación. Todos los datos a los que se hace referencia en esta investigación estaban disponibles públicamente y se entregaron sin controles de acceso en el momento de su recopilación.

Cada punto final descrito aquí respondió a solicitudes HTTPGETno autenticadas. No se requirieron ni utilizaron contraseñas, tokens ni credenciales de ningún tipo. Las herramientas de enumeración utilizadas para recopilar esta evidencia se han retenido del archivo público; sólo se publican el material capturado y los informes analíticos.

Compilado 2026 - Clasificación: OSINT - Código abierto
Observatorio de Infraestructura Digital y Transparencia de Redes (ODINT)

© 2026 Observatory for Digital Infrastructure and Network Transparency.
501(c)(3) Public Charity · EIN 41-4306936 · Donations tax-deductible to the fullest extent allowed by law.

Home · Privacy · Terms

Donate