Los investigadores en seguridad alertan sobre una vulnerabilidad recién descubierta en el software de gestión de servidores web cPanel y WebHost Manager (WHM), de uso muy extendido.
Se trata de un fallo crítico en cPanel/WHM que permite eludir el proceso de autenticación y que está siendo explotado activamente; permite a los atacantes obtener acceso administrativo a la interfaz sin necesidad de credenciales, lo que podría dar lugar a la toma de control de los servidores y de todos los sitios alojados.
La vulnerabilidad, identificada con el número CVE-2026-41940, ha sido incluida en el catálogo de vulnerabilidades explotadas de la Agencia de Seguridad Cibernética y de Infraestructuras (CISA), lo que significa que hay pruebas de que se está utilizando en ataques reales.
Dado que cPanel/WHM es utilizado por más de un millónde sitios web en todo el mundo, entre ellos bancos y organizaciones sanitarias, el impacto potencial es enorme. En pocas palabras, el fallo de seguridad puede actuar como una llave maestra que da acceso a una gran parte de la infraestructura de alojamiento web.
cPanel publicó parches el 28 de abril de 2026 e instó a todos los clientes y proveedores de alojamiento a actualizar sus sistemas. Según la empresa, todas las versiones compatibles posteriores a la 11.40 se ven afectadas, incluidas DNSOnly y WP Squared.
Proveedores de alojamiento web como Namecheap, HostGator y KnownHost bloquearon temporalmente el acceso a las interfaces de cPanel mientras aplicaban los parches, ya que consideraron que se trataba de una vulnerabilidad crítica que permitía eludir la autenticación y denunciaron intentos de explotación que se remontaban a finales de febrero de 2026.
Cómo mantenerse seguro
Aunque corresponde a las empresas de alojamiento web y a los propietarios de los sitios web aplicar los parches lo antes posible, hay formas de reducir el riesgo en caso de que un sitio web que utilices resulte afectado.
Como siempre, limita los datos que compartes con los sitios web a lo estrictamente necesario. Los datos que no tienen no pueden ser robados.
Cuando realices un pedido en una tienda online, no marques la casilla para guardar los datos de tu tarjeta para futuras compras, ya que estos se almacenarán en el servidor.
Si hay una opción para realizar el pago como invitado, utilízala. Así se reduce la cantidad de datos personales vinculados a una cuenta.
No reutilices las contraseñas. Si se produce una filtración en un sitio web, el hecho de utilizar las mismas credenciales en varios sitios puede provocar que se vean afectadas varias cuentas. Un gestor de contraseñas puede ayudarte a crear contraseñas complejas y únicas, y a recordarlas por ti.
Siempre que sea posible, paga con tarjeta de crédito. En muchas regiones, esto te ofrece una mayor protección contra el fraude.
Probablemente tus datos ya estén a la venta.
Cuando hackean un sitio web en el que confías
Si cree que se ha vistoafectado por una filtración de datos, siga estos pasos:
- Consulte las recomendaciones de la empresa.Cada infracción es diferente, por lo que debe consultar con la empresa para averiguar qué ha sucedido y seguir las recomendaciones específicas que le ofrezca.
- Cambie su contraseña. Puedes hacer que una contraseña robada sea inútil para los ladrones cambiándola. Elige una contraseña segura que no utilices para nada más. Mejor aún, deja que un gestor de contraseñas elija una por ti.
- Habilitala autenticación de dos factores (2FA).Si puedes, usa una llave de hardware, una computadora portátil o un teléfono que cumpla con FIDO2 como tu segundo factor. Algunas formas de 2FA pueden ser objeto de phishing tan fácilmente como una contraseña, pero la 2FA que se basa en un dispositivo FIDO2 no puede ser objeto de phishing.
- Ten cuidado con los impostores.Los ladrones pueden ponerse en contacto contigo haciéndose pasar por la plataforma afectada. Consulta el sitio web oficial para ver si se está poniendo en contacto con las víctimas y verifica la identidad de cualquier persona que se ponga en contacto contigo a través de un canal de comunicación diferente.
- Tómese su tiempo. Los ataques de phishing suelen hacerse pasar por personas o marcas que conoces, y utilizan temas que requieren atención urgente, como entregas perdidas, suspensiones de cuentas y alertas de seguridad.
- Considera no almacenar los datos de tu tarjeta. Sin duda, es más cómodo dejar que los sitios web recuerden los datos de tu tarjeta, pero aumenta el riesgo si un minorista sufre una filtración.
- Configureel monitoreo de identidad, que le avisa si se detecta que suinformación personalse está comercializando ilegalmente en línea y le ayuda a recuperarse después.
¿Qué saben los ciberdelincuentes sobre ti?
Utiliza el análisis gratuito de huellas digitales Malwarebytes para comprobar si tu información personal ha sido expuesta en Internet.
