Iter Cyberneticum Cuba

Aestimatio infrastructurae societatum gubernii, militarium, et statalium, a conglomerato 18 miliardorum dollariorum GAESA ad APIs non authenticatas quae data civium emanant.

Exercitus oeconomiam regit. Infrastructuram quam obserare obliti sunt mappavimus.

← Redire ad Cyber Tours
2,052 Dominia Analyzata
31,684 Tabulae Solutionum Expositae
5,313 Tabulae Studentium cum PII
805 Ramorum Bancorum (GPS)
131 Dominia Gubernii (V1)
42 Subsidiariae GAESA
13,800+ Cursus Unici Emanati
307 MB Probatio Totalis

De Hac Investigatione

Aestimatio OSINT duarum phaseum infrastructurae gubernii Cubani. V1 (Ianuarius 2026) 131 dominia .gob.cu in 20 categoriis documentavit — praesidentiam, ministeria, forces armatas, media statalia, infrastructuram, iudicium, et societates Status. V2 (Martius 2026) ambitum ad 2.052 dominia per perspicuitatem testimonialium et enumerationem DNS ampliavit, vestigium digitale conglomerati militaris GAESA revelans, praebitorem programmatum cum uno puncto catastrophico ruinae (Guajiritos S.R.L.), et APIs sine authenticatione quae decades milium tabularum solutionum cum PII clientium exponunt. Omnia data passive obtenta sunt per rotationem multi-nodi super Tor — sine exploitatione et sine authenticatione requisita.

GAESA: los militares tambien controlan internet

GAESA (Grupo de Administración Empresarial S.A.) es el conglomerado empresarial de las fuerzas armadas cubanas y controla aproximadamente el 40% de la economia nacional y el 95% de las transacciones en moneda extranjera. De 42 subsidiarias analizadas, 34 no tienen ningun registro DNS — una opacidad digital total. Pero el 20% que si esta en linea comparte un unico proveedor de software, un unico certificado SSL y un unico conjunto de APIs sin autenticacion. Una sola empresa — Guajiritos S.R.L. — construye y opera toda la infraestructura TI turistica de mas de 20 empresas de GAESA. Un compromiso de Guajiritos implicaria comprometer toda la infraestructura cubana de reservas turisticas, marinas militares, turismo medico y flota de autos de alquiler.

Rete Touristicum GAESA

7 empresas, 1 certificado SSL, todo compartido

EmpresaDominioFuncion
Havanatur S.A.*.havanatursa.comPlataforma principal de reservas (12 subdominios API)
Grupo Cubanacan*.grupocubanacan.comGrupo turistico
Marinas Gaviota S.A.*.marinasgaviotasa.comMarina militar / turismo nautico
Cubanacan S.A.*.cubanacansa.comOperador turistico
Okaturs*.okaturs.comOperador turistico
CIS La Pradera*.cislapradera.comTurismo medico / Centro Internacional de Salud
Ofertas Travel*.ofertastravel.comOperador turistico

Inventiones Criticae

Datos expuestos sin autenticacion en infraestructura estatal y militar cubana

HallazgoFuenteImpacto
31,684 registros de pago con PII de clientesGAESA tourism APIs13,800+ correos, 27,500+ numeros de telefono
Inventario completo de la flota de alquilerHavanatur API156 vehiculos, precios y disponibilidad
805 sucursales bancarias con coordenadas GPSBanco Central APIMapa completo de la infraestructura financiera
Sistema triple de tipo de cambio expuestoBanco Central APITasas oficiales, informales y cripto
5,313 registros estudiantiles con cedulas nacionalesGitLab de UCLVPII completa: nombres, numeros de CI y datos de matricula
Laravel APP_KEY + credenciales de base de datosGitLab de UCLV commitsCapacidad potencial de ejecucion remota de codigo
Hashes de contrasenas bcryptGitLab de UCLVRiesgo de robo de credenciales
Password grant de OpenID ConnectUCLV auth systemEndpoint directo de autenticacion por contrasena
PII de empleados de ETECSA en certificado SSLCertificate transparencyFiltracion de datos organizacionales internos
Enumeracion de usuarios WordPress (14 cuentas)Salud, educacion y medios .gob.cuHashes de Gravatar y objetivos de acceso
Coordenadas GPS del cuartel general de MINFARMetadatos publicosAvenida Independencia, La Habana 10400
12 IDs de Google Analytics mapeadosSitios web gubernamentalesRastreo entre sitios y mapeo de relaciones

Credentiales et Secreta

Credenciales expuestas, hashes de contrasenas, claves API y PII a lo largo de ambas evaluaci?nes

🔑
Informe V2 de Credenciales Expuestas
Laravel APP_KEY (RCE), contrasenas root de BD, hashes bcrypt y password grant de OpenID
Videre
🔑
Todas las Credenciales de V1
Credenciales recopiladas de 131 dominios gubernamentales
Videre
🔐
Hashes de Contrasenas de WordPress
Todos los hashes WP recolectados en dominios .gob.cu
Videre
🔐
Hashes de Gravatar
Hashes de correo obtenidos por enumeracion de usuarios WordPress
Videre
📧
Lista Maestra de Correos
64 direcciones de correo gubernamental extraidas
Videre
👤
Todos los Nombres de Usuario
14 cuentas enumeradas en plataformas CMS gubernamentales
Videre
📞
Numeros de Telefono
Numeros telefonicos gubernamentales extraidos de la infraestructura
Videre
👤
Cuentas de Redes Sociales
Cuentas oficiales identificadas en redes sociales
Videre
🔧
Filtraciones de Configuracion
Configuraciones de servidor y endpoints de depuracion expuestos
Explorare
🔥
Cuba Pwned
Publicaciones OSINT y evidencia visual
Explorare

V1 — Recoleccion de Infraestructura Gubernamental

131 dominios en 20 categorias — enero de 2026

🏛
01 — Presidencia
Poder ejecutivo y Partido Comunista (PCC)
Explorare
🏛
02 — Ministerios
Infraestructura de ministerios gubernamentales
Explorare
🛡
03 — Fuerzas Armadas y Seguridad
MINFAR, MININT, Aduana
Explorare
📺
04 — Medios Estatales
Granma, Cubadebate, Radio Rebelde, Juventud Rebelde
Explorare
05 — Infraestructura
ETECSA, servicios publicos y telecomunicaciones
Explorare
06 — Poder Judicial
Tribunales y fiscalias
Explorare
🏛
07 — Otro Gobierno
Bancos, salud, educacion y empresas estatales
Explorare
📄
08 — Codigo Fuente HTML
Copias HTML fuera de linea de sitios gubernamentales
Explorare
🔒
09 — Certificados SSL
16 certificados recolectados y analizados
Explorare
🔌
10 — APIs
Endpoints API descubiertos
Explorare
🔎
11 — IDs de Rastreo
12 IDs de Google Analytics mapeados
Explorare
💻
12 — Pilas Tecnologicas
CMS, frameworks y huellas de servidor
Explorare
🚨
13 — Hallazgos Criticos
Exposiciones de alta severidad
Explorare
🤖
14 — Hallazgos con IA
Resultados de analisis asistido por IA
Explorare
🗃
15 — Volcados en Bruto
Extraccion de datos en bruto
Explorare
🗃
16 — Exportaciones en Bruto
Datos exportados del escaneo
Explorare
🔑
17 — Credenciales Expuestas
Credenciales y secretos descubiertos
Explorare
🔧
18 — Filtraciones de Configuracion
Archivos de configuracion expuestos
Explorare
📊
19 — Resumen de Rastreo
Mapa de relaciones de rastreo entre sitios
Explorare
📄
20 — Informes
Informes OSINT maestros
Explorare

V2 — GAESA e Infraestructura Profunda

2,052 dominios — conglomerado militar, GitLab universitario y APIs bancarias — marzo de 2026

📄
Informe de Hallazgos V2
Informe maestro de 838 lineas — GAESA, Guajiritos, registros de pago, PII estudiantil y credenciales
Videre
🔑
Credenciales Expuestas
Credenciales de bases de datos, APP_KEYs y secretos de la evaluaci?n V2
Explorare
🗃
Volcados del Turismo de GAESA
Registros de pago y datos de flota de la red turistica militar
Explorare
🗃
Volcados de la API de Havanatur
Sistema de reservas, flota de alquiler y datos de clientes
Explorare
🗃
Infraestructura de Guajiritos
TI turistica de un solo proveedor — evidencia de una base de codigo compartida
Explorare
🏦
Volcados del Banco Central
805 sucursales bancarias, coordenadas GPS y tasas de cambio
Explorare
🎓
GitLab de UCLV
5,313 registros estudiantiles, credenciales Laravel y hashes bcrypt
Explorare
🛡
Datos de MINFAR
Datos de infraestructura militar
Explorare
🎓
Escaneos Universitarios
Evaluacion de infraestructura de educacion superior
Explorare
🚌
Datos de WeTransp
Volcados de infraestructura de transporte
Explorare

© 2026 Observatory for Digital Infrastructure and Network Transparency. Organizaci?n independiente sin fines de lucro.

Principium · Privatum · Termini

Donare