La comunidad tecnológica global ha estado en estado de máxima alerta desde la reciente revelación de una vulnerabilidad crítica que afecta a cPanel y WHM (WebHost Manager), dos de las plataformas más extendidas para la gestión de servidores de alojamiento web. Identificada como CVE-2026-41940, esta falla de omisión de autenticación representa una puerta abierta para atacantes remotos, permitiéndoles eludir los procesos de inicio de sesión y obtener acceso administrativo no autorizado a los sistemas. Con una puntuación CVSS de 9.8 sobre 10, la máxima gravedad posible, el impacto potencial de esta vulnerabilidad es devastador.
Aunque cPanel emitió parches de emergencia el 28 de abril de 2026, cubriendo todas las versiones soportadas posteriores a la 11.40 (incluyendo DNSOnly y WP Squared), la situación es aún más compleja. La investigación ha confirmado que la explotación de esta vulnerabilidad comenzó mucho antes, operando como un 'zero-day' desde el 23 de febrero de 2026. Esta brecha temporal de más de dos meses permitió a los cibercriminales capitalizar la falla antes de su divulgación oficial y la disponibilidad de los parches, comprometiendo miles de sitios web de manera sigilosa y a gran escala. La información, inicialmente reportada por TechCrunch, ha sido corroborada y expandida por diversas fuentes de ciberseguridad, revelando la magnitud de la ofensiva.
Los números clave
El alcance de esta explotación es verdaderamente global y sus cifras son contundentes. Se estima que aproximadamente 1.5 millones de instancias de cPanel están expuestas directamente a internet, convirtiéndolas en posibles objetivos. Considerando que cPanel y WHM gestionan colectivamente más de 70 millones de dominios a nivel mundial, el ecosistema afectado es inmenso y vital para la economía digital.
Los indicadores de explotación masiva son alarmantes. Un análisis reciente de Censys, una plataforma de búsqueda de internet, identificó 8,859 hosts exponiendo directorios abiertos con archivos terminados en ".sorry". De estos, 7,135 estaban ejecutando cPanel o WHM, lo que se considera una evidencia irrefutable de una explotación automatizada y a gran escala. Esta huella digital es consistente con el despliegue del ransomware "Sorry", un cifrador basado en Go para Linux que renombra los archivos afectados con la extensión .sorry y, de forma particularmente dañina, elimina las copias de seguridad del sistema. Esto apunta a un ataque coordinado con fines extorsivos, buscando una rápida monetización de los sistemas comprometidos.
La Fundación Shadowserver, una organización sin fines de lucro dedicada a monitorear amenazas en internet, reportó una escalada dramática en las actividades maliciosas. Detectaron más de 44,000 direcciones IP únicas relacionadas con cPanel realizando escaneos, exploits o ataques de fuerza bruta contra sus sensores honeypot en la semana previa a la divulgación, aunque este número disminuyó a 3,540 el domingo tras la publicación de los parches. Los ataques reportados van más allá del ransomware, incluyendo la desfiguración (defacement) de sitios web y la implementación de variantes del malware Mirai, utilizado para crear botnets masivas que lanzan ataques de denegación de servicio distribuidos (DDoS). Estos diferentes vectores de ataque sugieren que múltiples grupos de actores maliciosos están aprovechando la misma vulnerabilidad para diversos fines, desde la extorsión hasta el control de infraestructura para futuras ofensivas.
Análisis de la tendencia
La rápida evolución de esta vulnerabilidad, desde una falla crítica no divulgada hasta su explotación masiva en menos de dos meses, subraya una tendencia preocupante en el panorama de la ciberseguridad: la velocidad a la que los actores maliciosos capitalizan las vulnerabilidades de alto impacto en software ampliamente utilizado. cPanel, al ser una solución de plano de gestión para decenas de miles de servidores, representa un objetivo de alto valor para los atacantes. Un solo compromiso puede abrir las puertas a múltiples sitios web alojados.
