Por Canuto  

La explotación de una vulnerabilidad crítica en cPanel y WHM sigue activa casi una semana después de su divulgación pública. Con más de 550.000 servidores potencialmente expuestos y unas 2.000 instancias probablemente comprometidas, el episodio vuelve a poner bajo presión a la infraestructura que sostiene millones de sitios web.
***

  • Shadowserver reportó más de 550.000 servidores potencialmente vulnerables que ejecutan cPanel.
  • La vulnerabilidad CVE-2026-41940 fue añadida por CISA a su catálogo de fallas explotadas activamente.
  • Investigadores y proveedores detectaron señales de ataques desde el 23 de febrero, antes de la divulgación pública.

 

Los ataques contra servidores que ejecutan cPanel y WebHost Manager, conocidos como WHM, continúan casi una semana después de que sus desarrolladores alertaran sobre una vulnerabilidad crítica en el software. El caso afecta a una de las plataformas de administración de servidores web más extendidas del mercado, por lo que el problema no se limita a empresas tecnológicas, sino también a proveedores de hosting, negocios y sitios institucionales.

De acuerdo con datos citados por TechCrunch, hasta el lunes había más de 550.000 servidores potencialmente vulnerables ejecutando cPanel. Esa cifra se había mantenido estable durante varios días, lo que sugiere que una porción importante de los sistemas expuestos aún no había aplicado el parche o no había tomado medidas de contención efectivas.

Al mismo tiempo, la organización sin fines de lucro Shadowserver, dedicada a escanear y monitorear internet en busca de ciberataques, estimó que había alrededor de 2.000 instancias de cPanel probablemente comprometidas. El jueves anterior, esa cifra rondaba las 44.000, lo que indica un cambio importante en el número de sistemas identificados como afectados, aunque el universo de servidores expuestos sigue siendo muy elevado.

La vulnerabilidad permite a los atacantes tomar control total de los servidores vulnerables a través de sus paneles de control. En la práctica, esto abre la puerta al secuestro de la infraestructura, la alteración de configuraciones críticas, el acceso a archivos alojados y la interrupción de servicios que dependen de esos entornos web.

Una falla crítica en una pieza central del hosting

Para entender la dimensión del incidente, conviene recordar que cPanel y WHM son herramientas ampliamente usadas para administrar cuentas de hosting, dominios, correo electrónico, bases de datos y otros recursos de servidores web. Cuando una vulnerabilidad crítica golpea este tipo de software, el impacto potencial trasciende a un solo sitio y puede extenderse a múltiples clientes alojados en una misma infraestructura.

Según reportes de investigadores de seguridad divulgados el jueves, los hackers ya estaban comprometiendo servidores que ejecutaban cPanel y WHM mediante este fallo. El error permitía a los atacantes apoderarse de los sistemas desde el panel de administración, un escenario especialmente delicado porque reduce fricciones técnicas para la toma de control y acelera la ejecución del ataque.

El problema quedó identificado como CVE-2026-41940. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, conocida como CISA, advirtió ese mismo jueves que la vulnerabilidad estaba siendo explotada activamente y decidió incorporarla a su catálogo de Vulnerabilidades Explotadas Conocidas, o KEV por sus siglas en inglés.

La inclusión en ese catálogo no es un detalle menor. Suele indicar que la falla ya dejó de ser un riesgo teórico y pasó a representar una amenaza concreta para organizaciones públicas y privadas, especialmente cuando la explotación ya fue observada en ataques reales. Por ello, CISA pidió a las agencias gubernamentales aplicar el parche antes del domingo.

Hasta el momento descrito en la información original, CISA no había respondido a una solicitud de comentarios sobre si las agencias gubernamentales habían logrado corregir sus servidores dentro del plazo. Esa ausencia de confirmación deja abierta la duda sobre el grado de cumplimiento en sistemas públicos potencialmente expuestos.

Rastros de ransomware y sitios web ya indexados por Google

El alcance del daño también empezó a hacerse visible fuera de los círculos técnicos. Según informó Bleeping Computer, Google indexó decenas de sitios web que en algún momento mostraron un mensaje de un grupo de hackers que afirmaba haber cifrado los archivos de la víctima, en lo que aparentaba ser un ataque de ransomware.

Ese detalle aporta una señal concreta del uso del acceso comprometido. No se trataría solo de intrusiones silenciosas para espionaje o persistencia, sino también de operaciones con un componente de extorsión. En varios casos, la nota dejada por los atacantes incluía un ID de chat para que las víctimas pudieran ponerse en contacto con ellos.

Algunos de esos sitios ahora cargan con normalidad, lo que sugiere que ciertas víctimas lograron restaurar el servicio o revertir la alteración visible. Sin embargo, que una web vuelva a estar disponible no implica necesariamente que el incidente haya sido resuelto por completo, ya que todavía pueden persistir accesos indebidos, puertas traseras o daños no visibles.

Los hackers señalados en la nota de rescate no respondieron de inmediato a la solicitud de comentarios citada por la fuente original. Como suele ocurrir en este tipo de casos, la falta de respuesta impide confirmar de forma independiente el alcance operativo del grupo o el número total de víctimas con las que habrían interactuado.

Los ataques podrían haber comenzado mucho antes

Uno de los puntos más inquietantes del episodio es la posibilidad de que la explotación de la falla se remontara a bastante antes de su divulgación pública. Según Daniel Pearson, director ejecutivo de KnownHost, su empresa detectó ataques ya desde el 23 de febrero.

Si ese dato refleja actividad vinculada a la misma vulnerabilidad, el período de exposición real habría sido mucho mayor que el lapso transcurrido desde la publicación de la alerta. Eso aumenta la probabilidad de compromisos previos, accesos persistentes y afectaciones aún no detectadas por administradores de sistemas que creen no haber sido impactados.

En el mundo de la ciberseguridad, este patrón no resulta extraño. Muchas campañas exitosas aprovechan fallas durante semanas o meses antes de que exista un identificador público, una actualización disponible o una advertencia oficial para el conjunto del ecosistema. Cuando eso ocurre en software de uso masivo, el problema se vuelve sistémico.

La empresa Webpros, desarrolladora de cPanel y WHM, afirma prestar servicio a 60 millones de dominios. Esa escala ayuda a dimensionar por qué una vulnerabilidad en este entorno genera preocupación inmediata. Aun cuando no todos esos dominios estén afectados ni todos los despliegues sean vulnerables, el software ocupa una posición central en el negocio global del hosting.

Los ejecutivos de Webpros no respondieron de inmediato a la solicitud de comentarios citada por la fuente original. Sin una respuesta oficial adicional, la atención del sector se concentra en la velocidad con la que los administradores aplican mitigaciones, revisan registros y verifican si sus sistemas ya muestran señales de intrusión.

Para operadores de infraestructura y empresas que dependen de servicios de alojamiento, el episodio funciona como recordatorio de una realidad incómoda. Una sola vulnerabilidad crítica en una capa de administración puede convertirse en un vector para comprometer miles de sitios web, alterar operaciones comerciales y abrir la puerta a extorsión digital en cuestión de horas.

En este caso, los datos disponibles muestran una combinación preocupante: explotación activa confirmada, una base aún muy amplia de servidores potencialmente vulnerables y evidencia de campañas que habrían comenzado semanas antes. Mientras persista esa combinación, cPanel y WHM seguirán bajo fuerte escrutinio de la comunidad de seguridad y de los administradores que buscan evitar que sus plataformas entren en la próxima ola de compromisos.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados