1,5 millones de servidores, un exploit, control total: así secuestran sitios web los extorsionadores vía cPane
Propietarios atrapados entre cibercriminales y proveedores de alojamiento web.
La CISA agregó una vulnerabilidad crítica en cPanel al catálogo de vulnerabilidades explotadas activamente. Para los propietarios de sitios web es una mala noticia: los atacantes llegaron a uno de los paneles de control de alojamiento más populares antes de que muchos administradores pudieran instalar la corrección.
La vulnerabilidad recibió el identificador CVE-2026-41940 y una puntuación de 9,8 en la escala CVSS. El problema afecta a todas las versiones compatibles de cPanel y WebHost Manager posteriores a la 11.40, así como a WP Squared - una capa de gestión de WordPress construida sobre la misma plataforma. Un ataque exitoso puede dar al atacante control total del servidor.
La agencia estadounidense de ciberseguridad CISA añadió CVE-2026-41940 al catálogo Known Exploited Vulnerabilities el jueves. Incluirse en el KEV significa que la vulnerabilidad ya se está usando en ataques reales, y no solo se prueba en laboratorio. cPanel publicó la corrección el martes, pero la explotación comenzó antes.
El proveedor de hosting KnownHost describió la situación con mayor dureza. La compañía advirtió a los clientes que había registrado explotación exitosa incluso antes de la salida del parche. El director de KnownHost, Daniel Pearson, escribió en Reddit que detectaron intentos de ejecutar código a través de la vulnerabilidad ya el 23 de febrero de 2026. El proveedor aconsejó limitar el acceso a cPanel y WHM, y considerar los sistemas sin actualización como potencialmente comprometidos.
Namecheap optó por una medida más estricta pero comprensible: la empresa cerró temporalmente el acceso a cPanel y WHM para cortar la vía de ataque hasta que se instalaran las correcciones. Tras la publicación de los parches, el proveedor comenzó a desplegar las actualizaciones.
Los primeros informes muestran que los atacantes usan la brecha no solo para acceso furtivo o robo de datos. El propietario de una pequeña empresa contó en Reddit que su compañía se enfrentó a ransomware después de operar con una configuración estándar de cPanel. Según él, el proveedor de hosting tuvo dificultades para manejar las consecuencias del incidente, y los atacantes exigieron $7000 para desbloquear los sistemas.
Este caso, por ahora, solo está descrito por el dueño afectado, pero los detalles muestran bien el riesgo posible. Si los atacantes realmente usaron CVE-2026-41940 para ejecutar un cifrador, la vulnerabilidad ya ha ido más allá de intentos puntuales de acceso. Para una plataforma de hosting masiva ese escenario es especialmente peligroso: un exploit exitoso puede afectar sitios de pequeñas empresas, tiendas, blogs y servicios que no cuentan con equipo de seguridad propio.
La escala exacta de los ataques aún se desconoce. Rapid7 revisó los datos de Shodan y encontró alrededor de 1,5 millones de instancias de cPanel accesibles desde Internet. La plataforma sustenta el hosting de decenas de millones de sitios, por lo que incluso una pequeña proporción de instalaciones vulnerables convierte a CVE-2026-41940 en un problema importante para proveedores y clientes.
A las pequeñas empresas les resulta más difícil por la dependencia del proveedor de hosting. El propietario del sitio puede cerrar accesos innecesarios, revisar los registros y preguntar por el estado del parche, pero la plataforma suele ser gestionada por el proveedor. Mientras no se instale la corrección, la recomendación de actualizar con urgencia para muchos se convierte en espera, aunque los atacantes ya estén explotando la brecha en sistemas en producción.