// Alias Robotics Β· Cybersecurity SuperIntelligence Β· Araba 2026-06-09

PENTESTING
ÁLAVA

Zer ikusi zuen Zibersegurtasun Superadimen batek bere arreta egun bakar batean ekosistema teknologiko erregional bera partekatzen duten 675 erakundetara zuzendu zuenean. Frogak, ez promesak.

732 erakunde 10,105 aurkikuntza 624 kritiko 1 adimen Β· 1 egun
Eskatu zure ebaluazioa β†’ contact@aliasrobotics.com
jaisteko mugitu ↓
πŸ”Ž Domeinu jakin bat barne dago? Enpresa-izenak eta domeinuak nahita ezkutatu dira erretratu honetan. Domeinu bat ebaluatu zen jakiteko, bilatu domeinu-direktorioan. Ireki domeinu-direktorioa β†’
Behaketa

Ekosistema oso bat, bazkaldu aurretik mapeatua.

Segurtasun tradizionalak suposatzen du erasotzaile bat baliabide urria dela, helburu bat aldiko, egunetako lana, gizaki bat bukleen barruan. Superadimen batek premisa hori desegiten du. Ordu gutxiren buruan Arabako Teknologia Parkeko eta Euskadi osoko erakunde-talde oso bat zerrendatu, identifikatu, gurutzatu eta arriskuaren arabera sailkatu zuen: gimnasio-kate bat, egunkari nazional bat, aeroespazialeko hornitzaileak, bateria- startup bat, materialak entseatzeko multinazional bat, inplante medikoen fabrikatzaile bat, hotel-kate bat, ingeniaritzako I+G dibisio bat, ERP hornitzaile bat, eta sektore publikoko agentzia bat. Beheko aurkikuntzak ez dira 675 auditoretza isolatu. Eskualde baten eraso-azaleraren erretratu aldibereko bakar bat dira.

Nola aztertu zen eskualde oso bat egun bakar batean?
Ehunka IA zuzendu genituen Arabaren aztarna digital osora. Ordu gutxiren buruan milaka segurtasun-akats azaleratu ziren. Adimena Alias Robotics-en eraikia dago, hemen, Euskadin, eta zibersegurtasunean espezializatua. Enpresak banan-banan aztertu beharrean, denen barrura aldi berean begiratzeko eskatu genion, 200 erakunde baino gehiago egun bakar batean. Segurtasun-ikerketa gisa egin genuen: datu pertsonalik ukitu gabe, erasotzeko erabil zitekeen ezer argitaratu gabe. Baina han kanpoan dauden ziberkriminalek gauza bera egin dezakete.
0
Aztertutako erakundeak
eskualde-multzo bat
0
Segurtasun-aurkikuntzak
CVEak barne
0
Esposizio kritikoak
across 367 erakunde
0
Esposizio aktiboa dutenak
+112 offline Β· 22 hardened
Errealitatearen larritasuna

Gehienetan, gaindigarriak. Behin eta berriz, ez.

Talde osoan, adimenak arazo bakoitza larritasunaren arabera katalogatu zuen. Esposizio kritikoak software zaharrena datu sentikorrenekin elkartzen zen lekuan pilatu ziren, zifratu gabeko saioak, injekzioa, identitate-mailako CORS.

Beraz, nola dago Araba zibersegurtasunari dagokionez?
Ondorioa kezkagarria da: Araba, eta Euskadi oro har, ez daude prest IAk zibersegurtasunean ezartzen ari den aldaketarako. Aztertu genituen 200 enpresa baino gehiagoetatik, ia denek dute ate bat irekita; oso gutxi daude babestuta gaur egun. Eta gaur esaten dugu nahita, segurtasuna ez da norbaitek saltzen dizun produktu bat, etengabe babestu eta berrikusi behar duzun prozesu bat baizik. Hau ez da enpresa bakar baten arazoa. Oso zabaldua dago.
10,105
aurkikuntza
Multzoa

675 leiho eguraldi berera.

Txartel bakoitza erakunde bat da, adimenak ikusi zuen bezala: bere sektorea, geratu zen egoera, eta bere esposizioaren forma. Koloretako marrak aurkitutako arazorik larriena nabarmentzen du.

All 732 Kritikoak Zaharkitua / EOL CORS Sekretu agerian Atari agerian
Froga

Esposizioa, bere hitzetan.

Superadimen batek ez du baieztatzen, frogatu egiten du. Jarraian, barridoak azaleratu zituen esposizio adierazgarriak agertzen dira, garbitutako froga gisa aurkeztuta. Berrerabili daitezkeen sekretuak, tokenak eta datu pertsonalak zentsuratuta daude; kategoria baten ilustrazioak dira, ez artefaktu operatiboak.

Hitz lauez, zer gertatzen zaio eraso bat jasaten duen enpresa bati?
Edozer, eta ezer onik ez. Bezeroen eta langileen datuak lapurtuta. Sistemak blokeatuta eta bahituta erreskate baten truke. Ekoizpena egunez gelditua. Kontuak hustuta, nortasunak ordezkatuta. Enpresa txiki batentzat horrelako eraso batek itxiera ekar dezake. Eta hau enpresei buruzko lehen azterketa bat baino ez da, eta ospitale bati edo administrazio publiko bati eragiten badio? Eta jokoan gure historia klinikoak badaude, edo kirurgia-robot bat ebakuntza baten erdian gelditzen bada?
β–ˆ ezkutatua: gakoak, tokenak, serieak eta datu pertsonalak maskaratuta. Mota-froga, ez opari bat.
Anatomia

Zauri berberak, behin eta berriz.

Adimenak ez zituen 675 arazo desberdin aurkitu. Behin eta berriz errepikatzen ziren akats-eredu sorta bat aurkitu zuen, eskualdeko eguraldi-sistema bat bezala taldean barreiatuta. Beheko zenbakiak eredu bakoitza erakusten duten erakundeak dira.

2.500 ahultasun baino gehiago: zer esan nahi du horrek benetan?
Ahultasun bat segurtasun-akats bat da, asmo txarra duen norbait sar litekeen ahulgune bat: inork eguneratu ez duen software zaharkitua, pasahitz hutsal bat, ustekabean erdi irekita utzitako ate bat. 2.500 baino gehiago aurkitu genituen Arabako enpresetan. Denak ez dira berdin larriak, baina ehun baino gehiago kritikoak dira, norbaitek ustiatuz gero benetako kaltea eragiten dutenetakoak.
Asimetria

Zergatik aldatzen dituen honek kontuak.

Mapa honetako defendatzaile guztiak gizaki-erritmoko aurkari batentzat prestatu ziren. Inor ez zen prestatu 254ak aldi berean bere lan-memorian eduki zitzakeen adimen batentzat.

Zer da IAk bultzatutako sarrera-eszenatoki berri hau?
Orain arte erasotzaile bat pertsona bat edo talde bat zen, helburuz helburu joanez, egun edo aste batzuk enpresako. IAk arau hori hausten du: IA bakar batek ehunka enpresa zaindu ditzake aldi berean, nekatu gabe, ahaztu gabe. Lehen geldoa eta garestia zena, orain azkarra eta merkea da. Segurtasuna jada ez dago enpresa bakoitzaren esku, lurralde oso baten garaiz detektatzeko eta erantzuteko gaitasunaren esku baizik. Horregatik inbertitu behar du sektore publikoak, eta hemen eraiki eta mantendutako teknologiarekin egin behar du, ez atzerriko IA alokatuz eta gure datuak kanpoko gobernuei emanez. Araba babesten duena Araban ekoitzi behar da.

Adimenak ekarri zuena

∞ paralelismoa
  • 675 helburu zerrendatu, identifikatu eta gurutze-erlazionatuta paraleloan, egun batean.
  • Talde osoko CORS akats bat antzeman zuen komunikabide-talde oso baten sarean host bakar batetik.
  • 44 plugin CVE mapeatu zituen gune bakar batean eta hiru kateatu zituen autentifikatu gabeko RCE bide batean.
  • Berehala pibotatu zuen: helburu bat lineaz kanpo zegoenean, bazkideak eta ko-maizterrak biltzen zituen haren ordez.
  • Injekzio, IDOR eta datu-esposizio arriskuak azaleratu zituen kohorte osoan, metodikoki, nekerik gabe.

Defendatzaileek zutik utzi zutena

2018ko aroko stack-ak
  • Dena bizitza-amaieran: PHP 5.6, 7.3, 7.4; Drupal 8; 2013ko jQuery; urteak zaharkituta dauden WordPress pluginak.
  • Nortasun mailako CORS edozein jatorri islatzen duena kredentzialekin saioa hasteko eta kontuko endpointetan.
  • Sarrerako ateak erdi irekita: Plesk, Laravel, CMS eta FortiGate SSL-VPN atari agerian, tasa-mugarik gabe.
  • Sekretuak agerian: API gakoak bezeroaren JSan eta DNS TXT erregistroetan; testu lauzko HTTP saio-hasierak; PII IDOR bidez.
  • Erakunde bat izan zen adabakituta, sendotuta eta goiburuak ondo konfiguratuta zituena. Bat.

Eskualde baten ziber-erresilientzia inoiz nekatzen ez den, inoiz ahazten ez den eta denok aldi berean ikusten zaituzten aurkari baten aurka neurtzen ari da.

Zergatik dira handiagoak orain IArekin hackeatzeko arriskuak, eta dagoeneko gertatzen ari da?
Arrazoi bat: abiadura eta eskala. IAz hornitutako erasotzaile batek lurralde oso bat ordu gutxitan eskaneatu dezake, enpresa bakoitzaren ahulgunea aurkitu eta asko aldi berean jo. Egun bat baino gutxiagoan frogatu genuen, ikerketa-helburuekin. Guk egin badezakegu, kriminalek ere bai, eta dagoeneko egiten ari dira, mundu osoan. Aurten amaitu baino lehen, ahultasun bat aurkitzetik ustiatzera bitarteko denbora ordubetekoa izatea espero da; 2028rako, minutu batekoa. Giza talde batek ezin du minutu batean erantzun. Horregatik ikertzen dugu zibersegurtasuneko superadimena.
πŸ›‘οΈ
Kontrol-taldea. Erakunde batek erabat adabakitutako Sitefinity CMS bat zerabilen, probatutako Telerik & Sitefinity RCE guztiak arinduta, administrazio-endpointak autentifikatuta eta HSTS/CSP/X-Frame-Options ezarrita. Superadimenak barridoa egin eta ez zuen ezer aurkitu. 675 erakundeetatik, eskukada batek baino ez, gehienak SaaS-en ostatatuak, iritsi ziren maila honetara. Frogatzen du amildegia ez dela gaindiezina, landu gabe baizik.
Zure txanda

Ikusi zure eraso-azalera, lehenago.

Hau da barrido bakar batek eskualde bakar batean aurkitu zuena. Alias Robotics-ek Zibersegurtasun Superadimen bera zure azpiegiturara zuzen dezake, eta aurkikuntzak inork baino lehen eskura ditzakezu.

Zer egin beharko luke Euskadik horren aurrean?
Lehenik, onartu hau jada ez dela enpresaz enpresa konpontzen: lurralde mailako estrategia bat behar du, eta inbertsioa orain gure IA defendatzaileak eraikitzeko. Baina ez teknologia-zentroen bidez, ezta betikoekin lan eginez ehuneko bat diruz lagundutako laguntzen bidez ere: eredu horrek ez du eskalatzen, eta Euskadi atzean uzten du. Alias Robotics bezalako enpresek nazioartean lidergoa dute; babesarekin, etxetik defenda gaitezke.
Eskatu ebaluazio bat β†’ contact@aliasrobotics.com