Vulnerabilidad crítica en cPanel: un objetivo fácil para los ciberdelincuentes
Una falla recientemente divulgada en el software de gestión de servidores web cPanel y WebHost Manager (WHM) está siendo aprovechada a gran escala por grupos de hackers. Según datos de la organización sin fines de lucro Shadowserver, más de 550,000 servidores podrían estar expuestos, y alrededor de 2,000 de ellos ya muestran signos de haber sido comprometidos. La vulnerabilidad, identificada como CVE‑2026‑41940, permite a los atacantes tomar control total del panel de gestión y, en muchos casos, cifrar los archivos del sitio como parte de un ataque de ransomware.
Alcance de la amenaza
Desde la primera alerta pública, los delincuentes han intensificado sus campañas, pasando de 44,000 instancias potencialmente vulnerables en un jueves a más de 2,000 servidores confirmados como comprometidos a la fecha del informe. Google ha indexado varias páginas que en algún momento mostraron mensajes de extorsión, indicando que los hackers dejaron notas con un identificador de chat para negociar rescates, aunque muchos de esos sitios vuelven a cargar con normalidad tras la eliminación del mensaje.
Respuesta de autoridades y proveedores
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incluyó la vulnerabilidad en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) y recomendó a todas las agencias gubernamentales aplicar el parche antes del domingo siguiente a la alerta. Sin embargo, la propia compañía cPanel aún no ha emitido un comunicado oficial detallado, limitándose a reconocer la recepción de la solicitud de comentarios de TechCrunch. Mientras tanto, proveedores como KnownHost reportan que detectaron intentos de intrusión desde finales de febrero, lo que sugiere que los atacantes pudieron estar operando en silencio mucho antes de la divulgación pública.
Consejos para proteger tu sitio
Ante la gravedad de la situación, los administradores de servidores deben actuar con rapidez: actualizar a la versión más reciente de cPanel/WHM, revisar los logs en busca de accesos no autorizados y reforzar las políticas de contraseñas. Además, es recomendable habilitar autenticación multifactor (MFA) y segmentar la red para limitar la exposición de los paneles de control. En caso de detectar signos de cifrado de datos, se aconseja desconectar el servidor de internet, contactar a un especialista en incidentes y, de ser posible, restaurar los archivos desde copias de seguridad recientes.