Estadísticas de campaña
Una investigación OSINT de dos fases (reconocimiento pasivo en enero de 2026, seguida de enumeración activa API y recopilación de datos el 25 de febrero de 2026) dirigida a la infraestructura digital del gobierno albanés produjo los siguientes hallazgos.
Contexto: el ambicioso Estado digital de Albania
Albania ha pasado la última década construyendo una de las infraestructuras de gobierno digital más ambiciosas de Europa del Este. La Agencia Nacional para la Sociedad de la Información — AKSHI (Agjencia Kombëtare e Shoqërisë së Informacionit): gestiona una red que conecta 220 instituciones gubernamentales, aloja 380 sitios web gubernamentales, impulsa más de 600 servicios electrónicos para ciudadanos y mantiene un CSIRT dedicado a operaciones de ciberseguridad. Albania quedó clasificada 14 a nivel mundial en el GovTech Maturity Index 2025 y recibió el reconocimiento de la ONU como modelo para la transformación digital.
El país también es miembro de la OTAN y busca activamente ser miembro de la UE, con una fecha de adhesión prevista para 2030. Bruselas ha identificado sistemáticamente la corrupción como el principal obstáculo. La respuesta de Albania, en septiembre de 2025, fue nombrar al primer ministro de IA del mundo.
Diella (llamado así por la palabra albanesa que significa "sol") es un sistema de inteligencia artificial desarrollado por AKSHI utilizando Microsoft Azure y OpenAI. El Primer Ministro Edi Rama la nombró Ministra de Estado para Inteligencia Artificial con una misión declarada: "Las licitaciones públicas estarán 100 por ciento libres de corrupción". En octubre de 2025, Rama anunció que Diella estaba “embarazada de 83 asistentes digitales” que serían asignados a cada miembro del Parlamento del partido gobernante para monitorear las sesiones legislativas.
"La agencia que construyó la IA anticorrupción de Albania era en sí misma una empresa criminal. Su director general y su adjunto fueron arrestados tres meses después del nombramiento de Diella, acusados de operar un grupo criminal estructurado para manipular licitaciones gubernamentales".
La historia
Esta investigación comenzó en enero de 2026 como reconocimiento pasivo: mapeando la infraestructura de AKSHI y Diella, identificando subdominios a través de la transparencia de certificados, investigando los sistemas de cara al público. La conclusión inicial fue sencilla: la infraestructura del gobierno albanés estaba, según los estándares regionales, bien asegurada. WAF en los dominios principales, WordPress API que requieren autenticación, no hay credenciales expuestas en el paquete JavaScript de interfaz de Diella.
La evaluación cambió por completo en febrero de 2026. Cuando la enumeración se dirigió al Parlamento albanés (la institución que se suponía que debían monitorear los 83 “niños” de la IA de Diella), surgió una imagen diferente. El Parlamento (parlament.al) ofrece una aplicación React de una sola página que, en la superficie, parecía un callejón sin salida: devuelve HTTP 200 para todos los caminos, un SPA clásico comodín. Pero el paquete principal de JavaScript contaba una historia diferente.
Al extraer el paquete JS de 355 KB y ejecutar la extracción de cadenas, se reveló una URL base codificada API: https://kuvendiapi.azurewebsites.net/api. Una extracción adicional de variables minificadas del paquete web produjo siete nombres de entidades OData. Cada punto final respondió a solicitudes GET no autenticadas. Sin tokens, sin limitación de tarifas, sin controles de acceso de ningún tipo.
Todo el backend del Parlamento albanés API estaba completamente abierto.
La ironía es profunda. La directora general de AKSHI, Mirlinda Karçanaj, y su adjunta fueron arrestadas en diciembre de 2025, apenas tres meses después del nombramiento de Diella, acusadas de dirigir un grupo criminal estructurado dentro de la misma agencia que creó el ministro anticorrupción de AI. La SPAK (Estructura Especial Anticorrupción de Albania) identificó 12 procedimientos de licitación que habían sido manipulados sistemáticamente. El Parlamento API había estado abierto desde al menos enero de 2022. Y Diella, integrada en la plataforma e-Albania, con acceso a más de 36.000 documentos gubernamentales, no vio nada de eso.
Conclusión fundamental 1: Parlamento albanés: no autenticado API
Abrir puntos finales API
| Punto final | Archivos | Tamaño | Contenido |
|---|---|---|---|
| /anetaret | 236 | 138KB | Registros MP: completos PII |
| /estructura | — | 274KB | comités parlamentarios |
| /aktet | — | 3,1 megas | Actos legislativos, interpelaciones |
| /lajmet | — | 19,8MB | Artículos de noticias parlamentarias |
| /mbledhjet | — | 2,2MB | Registros de sesiones y reuniones. |
| /documento | 54.545 URL | 30,2MB | Catálogo de documentos con URL directas de Azure Blob |
| /YouTube/búsqueda | — | 8 KB | Proxy de búsqueda de vídeos de YouTube |
| /abonimet | — | 401 | Solo punto final protegido |
MP PII Expuesto — 236 Registros
Cada uno de los 236 registros de miembros del parlamento en el /anetaret La respuesta contiene la siguiente información de identificación personal:
- Nombre legal completo (nombre, nombre del padre, apellido)
- Fecha de nacimiento y lugar de nacimiento.
- Dirección de correo electrónico oficial (@parlament.al)
- Afiliación a partidos políticos y distrito electoral
- URL de la foto de perfil (alojada en Azure Blob Storage)
- Enlaces a redes sociales (Facebook, Twitter/X, LinkedIn)
- Estado parlamentario activo/inactivo
Esto constituye un expediente completo y estructurado sobre cada persona que trabaja en la legislatura albanesa, incluidos identificadores personales, información de contacto y afiliaciones políticas. Los datos se recopilaron sin eludir ninguna autenticación o control de acceso.
Azure Blob Storage: 54 545 documentos públicos
El /dokumentet endpoint devuelve un catálogo de 30,2 MB JSON que enumera todos los documentos del archivo parlamentario. Listado de contenedores en kuvendiwebfiles.blob.core.windows.net/webfiles/ está deshabilitado, pero cada URL se puede enumerar directamente a través de la respuesta API y todos los blobs individuales tienen habilitado el acceso de lectura público.
| Tipo de archivo | Contar |
|---|---|
| 32,627 | |
| JPEG/JPG | 18,289 |
| JFIF | 1,768 |
| DOCX | 885 |
| DOC | 397 |
| XLSX | 392 |
| PNG | 208 |
| XLS | 117 |
Entre los documentos recuperados: Hojas de cálculo de salarios de MP (DIPUESTO DE PAGA) y Registros de beneficios de MP (DIPUESTO DE PERFITIME) que cubre 2018-2020 mensualmente; el Registro de cabilderos (Regjistri elektronik i Lobisteve); Registros de solicitudes y respuestas de la FOIA que abarca el período 2018-2021; cuadros de gastos presupuestarios y datos del fondo de reserva pública; la Constitución, el Código Electoral y la Ley sobre el estatuto de los diputados de Albania; e informes anuales parlamentarios de 2013 a 2019.
El paquete JavaScript también contiene una referencia interna codificada API en http://134.0.63.165:5000/public – una dirección IP interna a la que no se puede acceder desde la Internet pública, lo que confirma que existe una infraestructura de backend adicional más allá de lo que está expuesto públicamente.
Hallazgo crítico 2: escándalo de corrupción de AKSHI
La ironía en los números
| El propósito declarado de Diella | Realidad |
|---|---|
| “Las licitaciones públicas estarán 100% libres de corrupción” | Liderazgo de AKSHI arrestado por manipulación de licitaciones |
| Ministro de AI luchará contra la corrupción para la adhesión a la UE | Director de agencia arrestado 3 meses después de su nombramiento |
| Niños con IA para monitorear la actividad legislativa de cada parlamentario | Parlamento API abierto, autenticación cero, todos los datos de los parlamentarios expuestos |
| Integrado en más de 36.000 documentos gubernamentales | Documentos a los que accedió esta investigación sin credenciales |
Conclusión 3: Análisis del frontend de IA de Diella
La seguridad técnica de la propia infraestructura frontend de Diella es, de forma aislada, competente. Azure Static Web Apps, configuración inyectada en tiempo de ejecución, IAM adecuado a través de Keycloak, infraestructura interna segmentada. Pero las cuestiones de seguridad planteadas por Diella no son principalmente técnicas: son institucionales. La agencia que controla los datos de entrenamiento, el acceso al sistema y los parámetros operativos de Diella fue comprometida por piratas informáticos estatales iraníes en 2022 y estuvo operando como una empresa criminal hasta diciembre de 2025. ¿Cómo se construyó Diella con datos de sistemas comprometidos? ¿Quién supervisó la IA anticorrupción mientras sus creadores manipulaban las licitaciones?
Conclusión 4: Portal de datos abiertos
Conjuntos de datos disponibles
| Conjunto de datos | Fuente | Volumen |
|---|---|---|
| Centros de Salud | AKSHI | 400 centros con GPS |
| Farmacias y Medicamentos | AKSHI | 2.289 registros |
| Registro Mercantil (Forma Jurídica) | QKB | Datos 2025 + 2026 |
| Registro Mercantil (Propiedad) | QKB | Datos 2025 + 2026 |
| Registro de Empresas (Región) | QKB | Datos 2025 + 2026 |
| Registro Nacional de Deuda 2024 | Ministerio de Finanzas | 4 archivos trimestrales |
| Datos de Tesorería | Ministerio de Finanzas | 900 distribuciones diarias |
| Inversiones Públicas | Ministerio de Finanzas | Datos mensuales |
| Estadísticas de e-Albania 2023 | AKSHI | 12 informes mensuales |
| Usuarios de e-Albania 2013-2024 | AKSHI | Estadísticas de registro anual |
| Flujo postal aeroportuario 2025 | Aviación Civil | Estadísticas mensuales |
Escaneo más amplio del gobierno albanés
Durante la fase de febrero de 2026 se investigaron diecisiete dominios del gobierno albanés. La mayoría están reforzados: Incapsula WAF, respuestas 403/404, no hay paneles de administración accesibles. Una enumeración de transparencia del certificado de .gov.al El espacio de dominio a través de crt.sh produjo 832 dominios y amplió el recuento de subdominios conocidos de AKSHI de 50 (enero) a 110 (febrero), revelando Jira, Rancher, Wiki y entornos de prueba internos, todos detrás de DNS solo interno, no accesible desde la Internet pública.
| Dominio | Resultado | Entidad |
|---|---|---|
| e-albania.al | 200 (endurecido) | Principal plataforma de gobierno electrónico |
| akshi.gov.al | WordPress, WAF | Agencia Nacional de TI |
| parlament.al | Reaccionar SPA — API ABRIR | Parlamento albanés |
| kryeministria.al | WAF encapsulado | Oficina del Primer Ministro |
| president.al | 403 Prohibido | oficina del presidente |
| bankofalbania.org | 403 Prohibido | Banco Central |
| klsh.org.al | WordPress, 401 endurecido | Entidad Fiscalizadora Suprema |
| pp.gov.al | ABAJO | Fiscalía General |
| policia.al | ABAJO | policía estatal |
| mbrojtja.gov.al | ABAJO | Ministerio de Defensa |
| financat.gov.al | ABAJO | Ministerio de Finanzas |
| drejtesia.gov.al | WAF encapsulado | Ministerio de Justicia |
| arsimi.gov.al | WAF encapsulado | Ministerio de Educación |
| tatime.gov.al | ABAJO | Autoridad Fiscal |
| dogana.gov.al | ABAJO | Autoridad Aduanera |
| dpshtrr.gov.al | 415 (registro de vehículos) | Licencia de conducir |
| instat.gov.al | 404 (limpio) | Instituto de Estadística |
Se descubrieron cuatro portales SIG mediante la enumeración crt.sh: geoportal.asig.gov.al (geoportal nacional), instatgis.gov.al (estadísticas WebGIS), webgis.arrsh.gov.al (Autoridad de Carreteras), y webgis.atp.gov.al (Planificación Territorial). Ninguno expone puntos finales de datos accesibles de GeoServer o WFS; todos son aplicaciones de front-end únicamente.
Organizaciones con compromisos
Contexto histórico: una década de exposición
La exposición al Parlamento API no existe de forma aislada. Albania se ha visto comprometida sistemáticamente en cada capa de su infraestructura digital durante los últimos cinco años.
| Fecha | Incidente | Escala |
|---|---|---|
| abril 2021 | Se filtró la base de datos de votantes | 910.000 registros (∼33% de la población) |
| diciembre 2021 | Se filtra base de datos salarial (WhatsApp) | 637.138 registros (22% de la población) |
| mayo 2021 | La Justicia Nacional iraní obtiene acceso inicial a AKSHI | 14 meses de persistencia silenciosa |
| julio 2022 | Ataque destructivo: ransomware ROADSWEEP + limpiador ZeroCleare | Albania obliga a desconectar los servicios gubernamentales |
| Septiembre 2022 | Albania rompe relaciones diplomáticas con Irán | La OTAN condena el ataque |
| octubre 2022 | La base de datos de sospechosos de la policía se filtró a través de Telegram | ∼100.000 registros, 1,7 GB |
| diciembre 2023 | Atacan la telecomunicaciones Parlamento + Una Albania | 2 petabytes declarados destruidos |
| enero 2024 | Intrusión en el instituto de estadística INSTAT | Más de 100 tuberculosis afirmadas fueron exfiltradas |
| Septiembre 2025 | Diella nombrado ministro de AI | — |
| diciembre 2025 | Director general de AKSHI arrestado por corrupción | 12 licitaciones bajo investigación |
| febrero 2026 | El Parlamento API declarado abierto: esta investigación | 54.545 documentos, 236 diputados PII |
El grupo patrocinado por el Estado iraní InicioJusticia Terrestre (MITRE ATT&CK C0038, atribuido por el FBI, CISA, la OTAN y el NCSC del Reino Unido al Ministerio de Inteligencia y Seguridad de Irán) violó AKSHI al explotar CVE-2019-0604 (Microsoft SharePoint). El acceso inicial se estableció en mayo de 2021, catorce meses antes del ataque destructivo lanzado en julio de 2022. Durante ese período, el ladrón de información CHIMNEYSWEEP exfiltró datos de la agencia que más tarde constituiría el ministro de IA de Albania.
Inventario de datos
Colección total: 251 MB en 1.309 archivos, recuperado de puntos de conexión no autenticados y de acceso público y de direcciones URL de Azure Blob Storage.
OSINT Metodología y Aviso Legal
Todos los datos de esta investigación se recuperaron mediante técnicas OSINT pasivas y activas aplicadas a puntos finales API no autenticados y de acceso público y a direcciones URL de Azure Blob Storage. No se omitió ninguna autenticación. No se probaron ni utilizaron credenciales. No se eludió ningún control de acceso. El API del Parlamento albanés respondió a las solicitudes GET estándar HTTP sin requerir ningún tipo de identificación o token.
Este informe sigue la metodología estándar de ODINT: la infraestructura pública se enumera, documenta y reporta. PII recopilado de APIs abierto se presenta en forma agregada o redactada. Los registros PII sin procesar se mantienen en acceso restringido y no se publican públicamente. Se puede otorgar acceso a conjuntos de datos restringidos a periodistas acreditados, investigadores y entidades gubernamentales afectadas previa solicitud.