Estadísticas de operación
El 1 de marzo de 2026, durante las hostilidades activas entre Pakistán y Afganistán (Operación Ghazab Lil Haq), ODINT llevó a cabo un barrido de reconocimiento pasivo de 3 horas de la infraestructura digital académica y del gobierno de Pakistán. Todos los datos se extrajeron a través de Tor utilizando métodos completamente de código abierto: sin exploits ni omisión de autenticación.
El contexto de la guerra
La infraestructura digital de Pakistán se partió en dos el 1 de marzo de 2026. El gobierno central (la Oficina del Presidente, el Parlamento, la Comisión Nuclear (PAEC), el Banco Estatal, la Junta Federal de Ingresos, los ferrocarriles nacionales y los servicios públicos de NADRA) guardaron completo silencio. Ya sea mediante un cierre defensivo deliberado o un colapso genuino de la infraestructura bajo el peso de la Operación Ghazab Lil Haq, más de 35 dominios .gov.pk importantes no obtuvieron respuesta.
Lo que quedó en pie cuenta su propia historia. Las instituciones que Pakistán hizo no Protect (sus universidades, un gobierno provincial, un portal de datos abiertos, dos paneles de administración federales) quedaron completamente expuestos, sin implementación adicional de WAF, sin restricciones de IP y, en algunos casos, con servidores web con siete años de retraso.
Pakistán dio prioridad a la protección de su infraestructura nuclear y financiera. Se olvidó por completo de sus universidades, su provincia más pobre y su plataforma de datos abiertos.
Colapso de la infraestructura: lo que pasó
De más de 57 dominios paquistaníes escaneados durante hostilidades activas, El 65% eran completamente inalcanzables., el 17% estaba detrás de los WAF que bloqueaban Tor, y sólo el 21% seguía siendo accesible y funcional.
Completamente inalcanzable (>35 dominios)
| Dominio | Organización | Estado |
|---|---|---|
| pakistan.gov.pk | Portal del Gobierno Federal | ABAJO |
| pmo.gov.pk | Oficina del Primer Ministro | ABAJO |
| senate.gov.pk / na.gov.pk | Parlamento (ambas cámaras) | ABAJO |
| paec.gov.pk | Comisión de Energía Atómica de Pakistán | ABAJO |
| nescom.gov.pk | Desarrollo nuclear y de misiles | ABAJO |
| sbp.org.pk | Banco Estatal de Pakistán | ABAJO |
| fbr.gov.pk / iris.fbr.gov.pk | Junta Federal de Ingresos / IRIS 2.0 | ABAJO |
| mail.ntc.net.pk | Correo electrónico del gobierno federal (Zimbra) | ABAJO |
| punjab.gov.pk / sindh.gov.pk | Provincias de Punjab y Sindh | ABAJO |
| nadra.gov.pk (servicios electrónicos) | Base de datos de identidad nacional (pública) | ABAJO |
Detrás de WAF: Tor bloqueado (10 dominios)
| Dominio | WAF | Estado |
|---|---|---|
| ispr.gov.pk | Llamarada de nube | 403 BLOQUEADO |
| paknavy.gov.pk | Llamarada de nube | 403 BLOQUEADO |
| nust.edu.pk | Llamarada de nube | 403 BLOQUEADO |
| comsats.edu.pk | Llamarada de nube | 403 BLOQUEADO |
| gcu.edu.pk | Sucuri/Cloudproxy | 403 BLOQUEADO |
Estado completo de la infraestructura en tiempos de guerra con los más de 57 dominios: Estado de la infraestructura en tiempos de guerra
Objetivos en vivo: lo que permaneció abierto
Doce dominios permanecieron accesibles y fueron sometidos a una enumeración profunda. Las instituciones que quedaron expuestas revelan un patrón de negligencia que ninguna postura defensiva en tiempos de guerra corrigió.
WordPress REST API: Tres instalaciones gubernamentales completamente expuestas
Tres organizaciones paquistaníes exponen su WordPress REST API completa sin autenticación: la Universidad Quaid-i-Azam, el Gobierno de Baluchistán y el Departamento de Ciencia y TI de Baluchistán. Extracción combinada: 13,4MB de datos gubernamentales y académicos estructurados.
admin_bal) gestiona ambos balochistan.gov.pk y sit.balochistan.gov.pk - confirmado por un hash gravatar idéntico en ambas instalaciones. Al comprometer una cuenta de correo electrónico, ambos sitios caen. wp-login.php es directamente accesible en el dominio SIT.
Inteligencia de personal: más de 340 personas nombradas
En todos los objetivos, se identificaron más de 340 personas con distintos grados de información de contacto personal. Todos los datos se extrajeron de fuentes de acceso público sin autenticación.
Comisionados divisionales de Baluchistán
Ocho administradores provinciales de alto nivel fueron identificados por su nombre y división en el contenido de la página WordPress, incluido el comisionado de la División Makran (Dawood Khan Khilji), que limita con Irán y alberga el puerto de Gwadar, la pieza central de CPEC.
Directorios del personal de QAU: muestra
La siguiente es una muestra parcial de datos extraídos de las páginas del personal de QAU de acceso público. Se recuperaron extensiones telefónicas directas, direcciones de correo electrónico institucionales y personales y puestos organizacionales para más de 65 personas.
Portal de datos abiertos: 1.471 conjuntos de datos gubernamentales
Portal de datos abiertos de Pakistán (opendata.com.pk) ejecuta CKAN 2.8.3 en un servidor que data de octubre de 2017. A pesar de declarar /api/ fuera de los límites en robots.txt, se puede acceder libremente al API completo sin autenticación.
Paneles de administración federal expuestos
Dos sitios web del gobierno federal exponen paneles de inicio de sesión administrativos directamente a Internet sin WAF, sin restricciones de IP y sin CAPTCHA, durante un conflicto militar activo.
/trace.axd devuelve un 403 (no un 404), lo que confirma que el seguimiento de solicitudes ASP.NET está habilitado en el servidor. Gestión de operaciones a nivel de sede accesible sin restricciones.
Divulgación de configuración del servidor: LUMS phpinfo.php
La Universidad de Ciencias de la Gestión de Lahore expone una phpinfo.php página (96 KB) que revela la pila completa del servidor: nombre de host, kernel, versión del sistema operativo, extensiones PHP, configuración de la base de datos y rutas del sistema de archivos: una huella digital completa para la explotación dirigida.
lumswebsite-websrv1, núcleo 5.4.17-2136.350.3.2.el8uek.x86_64 (Oracle UEK), RHEL 8.10, Apache 2.4.66, PHP 8.1.34. Las extensiones PHP SSH2 y LDAP confirman que el servidor se conecta a otra infraestructura LUMS: posibles rutas de pivote.
Baluchistán: Provincia en la mira
Baluchistán es la provincia más grande de Pakistán en términos de superficie (44% del territorio de Pakistán), su corredor estratégico para CPEC y la sede del puerto de Gwadar, el punto de acceso de China al Océano Índico. Durante la guerra entre Pakistán y Afganistán, se convirtió en una zona crítica de primera línea. También era el único gobierno provincial vivo que quedaba.
El WordPress API provincial expuso los nombramientos de comisionados divisionales en las 8 divisiones de Baluchistán, los documentos presupuestarios completos de 2020 a 2026, la legislación de más de 14 departamentos y la lista de personal para la infraestructura de vigilancia de Gwadar. La situación del doble TLD (.gov.pk y .gob.pk) crea un riesgo adicional de suplantación de identidad.
Infraestructura digital gubernamental
La infraestructura digital del gobierno de Pakistán está centralizada en torno a una pequeña cantidad de sistemas críticos. Durante tiempos de guerra, todos estaban desconectados o bloqueados. Lo siguiente representa el panorama de los objetivos de posguerra.
NADRA - Identidad nacional bajo bloqueo en tiempos de guerra
La plataforma Nishan API de NADRA, que impulsa los servicios Verisys (verificación demográfica), Biosys (huella biométrica), multibiométrico (huella digital + facial) y prueba de vida para más de 220 millones de ciudadanos paquistaníes, quedó completamente a oscuras. Los seis puntos finales de NADRA de cara al público arrojaron errores que van del 403 al 500.
El formato de número CNIC de NADRA codifica provincia, distrito, tehsil, consejo sindical, linaje familiar y género en 13 dígitos. Un conjunto de datos del CNIC comprometido no sólo expone un número de identificación: mapea toda la geografía administrativa de una persona.
Cronología histórica de incumplimientos
La exposición actual de Pakistán se suma a una historia documentada de incidentes graves.
| Fecha | Incidente | Impacto |
|---|---|---|
| 2019–2023 | Robo de datos internos de NADRA por parte de empleados | 2,7 millones de registros ciudadanos vendidos (Argentina, Rumania) |
| 2024 | NADRA viola la divulgación pública | Documentos de identidad fraudulentos emitidos a ciudadanos afganos |
| 2025 | Violación de credenciales global | 180 millones de credenciales de usuarios de Internet paquistaníes |
| 2025 | Fuga de datos SIM | Se exponen los registros de llamadas de los ministros federales |
| 2025 | Campaña del ciberejército afgano | 100 sitios .gov.pk de alto perfil desfigurados |
Inventario de datos
| Categoría | Tamaño | Contenidos clave |
|---|---|---|
| qau-volcado-completo/ | 6,6MB | 200 páginas, 484 publicaciones, 603 medios, directorios de personal |
| pu-volcado-completo/ | 8,3MB | 101 archivos, 18.460 URL, 19 departamentos |
| ckan-volcado/ | 8,9MB | 1.471 conjuntos de datos, 36 usuarios, 22 organizaciones |
| baluchistán-wp-dump/ | 5,9MB | 149 páginas de gobierno, 1.297 medios, comisionados, presupuestos |
| pak-wp-volcados/ | 6,3 megas | SIT WP, LUMS phpinfo, páginas de administración |
| universidades-pak/ | 2,5MB | 7 sondas universitarias (LUMS, AIOU, UOS, otras) |
| pak-sonda-profunda/ | 957 KB | Reconocimiento inicial del objetivo |
| prioridad de paquete/ | 216KB | Sondas NADRA, NTC, NITB, FBR |
| paneles-admin-pak/ | 32 KB | Análisis de inicio de sesión de administrador de FSP y EP |
| TOTAL | 46 megas | 9 categorías objetivo |
Anexos Técnicos Detallados
Nueve informes especializados cubren cada área de la operación con toda su profundidad técnica.
Metodología y alcance
Todos los datos documentados en este informe se obtuvieron mediante técnicas de inteligencia pasiva de código abierto utilizando interfaces de acceso público. No se eludió ninguna autenticación, no se aprovechó ninguna vulnerabilidad y no se realizó ningún acceso no autorizado. Todos los datos estaban disponibles sin credenciales en el momento de la recopilación.
El reconocimiento se realizó a través de proxychains4/Tor desde una infraestructura anónima (CT105, 10.0.0.99). La ventana de operación fue de 07:27 a 09:45 UTC del 1 de marzo de 2026.
ODINT publica esta investigación para apoyar la transparencia, la responsabilidad periodística y el discurso público informado sobre la postura de seguridad digital del gobierno. La divulgación de este material es consistente con ODINT Política de Ética y Metodología.