// Alias Robotics · Cybersecurity SuperIntelligence · Álava 2026-06-09

PENTESTING
ÁLAVA

Lo que una Superinteligencia de Ciberseguridad observó cuando dirigió su atención, en un solo día, a 675 organizaciones que comparten un mismo ecosistema tecnológico regional. Pruebas, no promesas.

732 organizaciones 10,105 hallazgos 624 críticos 1 inteligencia · 1 día
Solicita tu propia evaluación → contact@aliasrobotics.com
desplázate para descender ↓
🔎 ¿Está un dominio concreto en el alcance? Los nombres de empresa y los dominios se omiten intencionadamente en este retrato. Para comprobar si un dominio fue evaluado, busca en el directorio de dominios. Abrir el directorio de dominios →
La observación

Todo un ecosistema, mapeado antes de comer.

La seguridad tradicional asume que un atacante es un recurso escaso, un objetivo cada vez, días de esfuerzo, un humano en el bucle. Una superinteligencia disuelve esa premisa. En cuestión de horas enumeró, identificó, correlacionó y clasificó por riesgo todo un grupo de organizaciones del Parque Tecnológico de Álava y del conjunto de Euskadi: una cadena de gimnasios, un periódico nacional, proveedores aeroespaciales, una startup de baterías, una multinacional de ensayo de materiales, un fabricante de implantes médicos, una cadena hotelera, una división de I+D de ingeniería, un proveedor de ERP, y una agencia del sector público. Los hallazgos que siguen no son 675 auditorías aisladas. Son un único retrato simultáneo de la superficie de ataque de una región.

¿Cómo se analizó una región entera en un solo día?
Apuntamos cientos de IAs a toda la huella digital de Álava. En cuestión de horas afloraron miles de fallos de seguridad. La inteligencia está construida en Alias Robotics, aquí en Euskadi, y especializada en ciberseguridad. En lugar de revisar las empresas una a una, le pedimos que mirara dentro de todas a la vez, más de 200 organizaciones en un solo día. Lo hicimos como investigación de seguridad: sin tocar ningún dato personal, sin publicar nada que pudiera usarse para atacar. Pero los ciberdelincuentes ahí fuera pueden hacer exactamente lo mismo.
0
Organizaciones rastreadas
una cohorte regional
0
Hallazgos de seguridad
incl. CVEs mapeados
0
Exposiciones críticas
across 367 organizaciones
0
Con exposición activa
+112 offline · 22 hardened
La gravedad de la realidad

En su mayoría, superables. Reiteradamente, no.

En todo el grupo, la inteligencia catalogó cada problema por gravedad. Las exposiciones críticas se concentraron allí donde el software más antiguo coincidía con los datos más sensibles, accesos sin cifrar, inyección, CORS de nivel de identidad.

Entonces, ¿cómo está Álava en ciberseguridad?
La conclusión es preocupante: Álava, y Euskadi en su conjunto, no están preparadas para el cambio que la IA está imponiendo en la ciberseguridad. De las más de 200 empresas que examinamos, casi todas tienen alguna puerta abierta; muy pocas están protegidas hoy. Y decimos hoy de forma deliberada, la seguridad no es un producto que alguien te vende, es un proceso que debes asegurar y revisar constantemente. Este no es el problema de una empresa. Está generalizado.
10,105
hallazgos
La cohorte

675 ventanas al mismo clima.

Cada ficha es una organización tal como la vio la inteligencia: su sector, el estado en que quedó, y la forma de su exposición. La franja de color marca el problema más grave encontrado.

All 732 Críticos Obsoleto / EOL CORS Secretos expuestos Portal expuesto
La prueba

La exposición, en sus propias palabras.

Una superinteligencia no afirma, demuestra. A continuación se muestran exposiciones representativas que el barrido sacó a la luz, presentadas como evidencia depurada. Los secretos reutilizables, los tokens y los datos personales están redactados; son ilustraciones de una categoría, no artefactos operativos.

En términos sencillos, ¿qué le ocurre a una empresa que sufre un ataque?
Cualquier cosa, y nada bueno. Datos de clientes y empleados robados. Sistemas bloqueados y secuestrados a cambio de un rescate. Producción detenida durante días. Cuentas vaciadas, identidades suplantadas. Para una pequeña empresa un ataque así puede significar el cierre. Y esto es solo un primer estudio sobre empresas, ¿y si afecta a un hospital o a una administración pública? ¿Y si lo que está en juego son nuestros historiales médicos, o un robot quirúrgico se detiene en mitad de una operación?
█ redactado: claves, tokens, números de serie y datos personales enmascarados. Prueba de tipo, no un regalo.
La anatomía

Las mismas heridas, una y otra vez.

La inteligencia no encontró 675 problemas únicos. Encontró un puñado de patrones de fallo recurrentes, repartidos por el grupo como un sistema meteorológico regional. Las cifras de abajo son organizaciones que presentan cada patrón.

Más de 2.500 vulnerabilidades: ¿qué significa eso realmente?
Una vulnerabilidad es un fallo de seguridad, un punto débil por el que alguien con malas intenciones podría colarse: software obsoleto que nadie ha actualizado, una contraseña trivial, una puerta entreabierta por accidente. Encontramos más de 2.500 en las empresas de Álava. No todas son igual de graves, pero más de un centenar son críticas, de las que causan un daño real si alguien las explota.
La asimetría

Por qué esto cambia las cuentas.

Todos los defensores de este mapa se prepararon para un adversario de ritmo humano. Ninguno se preparó para una mente capaz de tener a las 675 a la vez en su memoria de trabajo.

¿Qué es este nuevo escenario de intrusión impulsado por IA?
Hasta ahora un atacante era una persona o un grupo, yendo objetivo por objetivo, días o semanas por empresa. La IA rompe esa regla: una sola IA puede vigilar cientos de empresas a la vez, sin cansarse, sin olvidar. Lo que antes era lento y caro ahora es rápido y barato. La seguridad ya no depende de cada empresa por separado, sino de la capacidad de todo un territorio para detectar y responder a tiempo. Por eso el sector público debe invertir, y hacerlo con tecnología construida y mantenida aquí, no alquilando IA extranjera y entregando nuestros datos a gobiernos de fuera. Lo que protege a Álava debe producirse en Álava.

Lo que trajo la inteligencia

∞ paralelismo
  • 675 objetivos enumerados, identificados y correlacionados en paralelo, en un día.
  • Reconoció un fallo de CORS a nivel de todo el grupo en la red de un grupo de medios entero desde un único host.
  • Mapeó 44 CVE de plugins en un solo sitio y encadenó tres en una vía de RCE sin autenticar.
  • Pivotó al instante: cuando un objetivo estaba fuera de línea, recolectaba socios y co-inquilinos en su lugar.
  • Afloró riesgos de inyección, IDOR y exposición de datos en toda la cohorte, metódicamente, sin fatiga.

Lo que dejaron en pie los defensores

stacks de la era 2018
  • Todo en fin de vida: PHP 5.6, 7.3, 7.4; Drupal 8; jQuery de 2013; plugins de WordPress obsoletos desde hace años.
  • CORS de nivel identidad que refleja cualquier origen con credenciales en los endpoints de login y de cuenta.
  • Puertas de entrada entreabiertas: portales Plesk, Laravel, CMS y FortiGate SSL-VPN expuestos y sin limitación de tasa.
  • Secretos al descubierto: claves de API en el JS del cliente y en registros DNS TXT; logins HTTP en texto plano; PII vía IDOR.
  • Una organización había parcheado, fortificado y configurado correctamente las cabeceras. Una.

La ciber-resiliencia de una región se está midiendo frente a un adversario que nunca se cansa, nunca olvida y os ve a todos a la vez.

¿Por qué son mayores ahora los riesgos de hackeo con IA, y ya está ocurriendo?
Un motivo: velocidad y escala. Un atacante equipado con IA puede escanear todo un territorio en horas, encontrar el punto débil de cada empresa y golpear a muchas a la vez. Lo demostramos en menos de un día, con fines de investigación. Si nosotros podemos, los delincuentes también, y ya lo están haciendo, en todo el mundo. Para finales de este año, se espera que el tiempo entre encontrar una vulnerabilidad y explotarla sea de una hora; para 2028, de un minuto. Ningún equipo humano puede responder en un minuto. Por eso investigamos la superinteligencia de ciberseguridad.
🛡️
El grupo de control. Una organización ejecutaba un Sitefinity CMS totalmente parcheado, con todas las RCE de Telerik & Sitefinity probadas y mitigadas, los endpoints de administración autenticados y HSTS/CSP/X-Frame-Options en su sitio. La superinteligencia la barrió y no encontró nada. De las 675 organizaciones, solo un puñado, en su mayoría alojadas en SaaS, alcanzaron este nivel. Es la prueba de que la brecha no es insalvable, solo está sin abordar.
Te toca

Vea su propia superficie de ataque, antes.

Esto es lo que un solo barrido encontró en una única región. Alias Robotics puede dirigir esa misma Superinteligencia de Ciberseguridad a su infraestructura, y entregarle los hallazgos antes que nadie.

¿Qué debería hacer Euskadi al respecto?
Primero, asumir que esto ya no se resuelve empresa por empresa: necesita una estrategia de alcance territorial, e inversión ya para construir nuestros propios defensores con IA. Pero no a través de centros tecnológicos, ni de ayudas subvencionadas a un porcentaje trabajando con los de siempre: ese modelo no escala, y deja a Euskadi atrás. Empresas como Alias Robotics lideran a nivel internacional; con respaldo, podemos defendernos desde casa.
Solicita una evaluación → contact@aliasrobotics.com