cPanel: vulnerabilidad crítica permite tomar tu sitio sin contraseña — afecta a 70 millones de dominios y estaba siendo explotada antes del parche
Una falla crítica (CVSS 9.8) en cPanel deja entrar a atacantes a tu sitio sin contraseña. Afecta a aproximadamente 70 millones de dominios y se estaba explotando ANTES del parche de emergencia. Si tu sitio está en HostGator, Namecheap, Hostinger, GoDaddy o cualquier hosting con cPanel, debes verificar HOY si tu servidor fue actualizado.
Si tu negocio tiene un sitio web (y casi todos lo tienen), hay un 70% de probabilidad de que esté hospedado en un servidor con cPanel. Es el panel de control que usan HostGator, Hostinger, Namecheap, GoDaddy, SiteGround, Bluehost y la mayoría de los hostings compartidos del mercado.
El 22 de abril de 2026, cPanel publicó un parche de emergencia para una vulnerabilidad catastrófica: CVE-2026-41940 con puntuación CVSS 9.8 sobre 10. Permite a un atacante remoto sin credenciales tomar control total del panel administrativo simplemente manipulando una cookie.
Lo más grave: la falla se estaba explotando activamente ANTES del parche. Es decir, durante semanas (posiblemente meses) los criminales tuvieron acceso silencioso a sitios cuya gente nunca se enteró. La pregunta para tu negocio NO es si tu servidor era vulnerable. Es si ya fue comprometido.
Qué pasó exactamente
cPanel & WHM son las plataformas de gestión de hosting más usadas del mundo. Aproximadamente 70 millones de dominios dependen de ellas. Cuando una vulnerabilidad afecta cPanel, no afecta a una empresa — afecta a una porción enorme del internet.
Lo que sabemos de CVE-2026-41940:
- Tipo: Bypass de autenticación por inyección CRLF
- Puntuación CVSS: 9.8 / 10 (Crítica — la categoría más alta)
- Versiones afectadas: todas las versiones de cPanel & WHM posteriores a 11.40 (es decir, prácticamente todas las que están en producción)
- Acceso requerido: ninguno — el atacante no necesita usuario ni contraseña previa
- Vector de ataque: remoto vía red, sin interacción del usuario
- Privilegios obtenidos: root o WHM administrator (control total del servidor)
- Estado: explotación activa documentada antes del parche (zero-day)
Cómo funciona el ataque (sin tecnicismos)
Imagina que cPanel guarda una "credencial temporal" en tu navegador (como una pulsera de evento) cada vez que inicias sesión. Esa pulsera tiene una parte cifrada que prueba quién eres.
El bug permite que un atacante:
- Envíe una solicitud especialmente formada al panel con caracteres invisibles (`\r\n` — son saltos de línea ocultos)
- Estos caracteres "engañan" al sistema y lo hacen escribir un archivo de sesión sin validar el contenido
- El atacante inserta en ese archivo la propiedad
user=root - cPanel lee ese archivo y dice "ah, eres root, pasa"
El atacante entra al panel administrativo sin haber tenido nunca una cuenta válida. Desde ahí puede:
- Modificar cualquier sitio web alojado en ese servidor
- Robar bases de datos de cualquier cliente
- Instalar malware o webshells permanentes
- Redirigir tu correo a su propia bandeja
- Cambiar registros DNS para suplantarte
- Cifrar todo y pedir rescate (ransomware)
Por qué esto es 10× más grave que un hackeo normal
En un hackeo típico, tienen que apuntar a tu empresa específicamente: investigar, mandar phishing, esperar que alguien caiga. Es trabajo selectivo.
Aquí no. El atacante puede escanear automáticamente miles de servidores cPanel, comprometer todos los vulnerables en una noche, y dejar puertas traseras (webshells) que sobreviven incluso si después se aplica el parche. Es industrial. Es masivo. Es silencioso.
Lo que las víctimas suelen ver:
- Su sitio sigue cargando con normalidad — ningún defacement obvio
- El correo funciona "casi" igual
- El panel cPanel se ve normal
- Pero silenciosamente: nuevos archivos en el servidor, sesiones extra, tráfico saliendo a IPs raras, datos siendo exfiltrados
Pueden pasar semanas o meses antes de que alguien note algo. Cuando notan, suele ser porque:
- Reciben correo del banco diciendo "tu tarjeta fue clonada"
- Su proveedor de hosting bloquea su cuenta por "actividad sospechosa"
- Google marca su sitio como "Engañoso" en búsquedas
- Aparecen en una filtración con sus credenciales en dark web
¿Cómo saber si mi hosting ya parchó?
cPanel publicó parches en estas versiones:
- 11.110.0.81 y posteriores en rama LTS
- 11.118.0.21 y posteriores en rama RELEASE
- 11.124.0.6 y posteriores en rama CURRENT
Para verificar tu versión, entra a tu cPanel y busca la versión en la esquina inferior o en WHM ? Server Configuration ? cPanel/WHM Configuration. Si tu hosting es compartido (HostGator, Namecheap, Hostinger, etc.), generalmente ellos parcharon los servidores entre el 22 y 29 de abril de 2026.
Estado verificado de hostings populares (al 24 de abril 2026)
| Proveedor | Estado del parche | Acción recomendada |
|---|---|---|
| Namecheap | ? Parchado servidores Reseller, Stellar Business y otros (29 abril 02:42 UTC) | Verificar versión + cambiar contraseña |
| HostGator | ?? Verificar con su soporte | Confirmar versión cPanel actual |
| GoDaddy | ?? Verificar con su soporte | Confirmar versión cPanel actual |
| Hostinger (no usa cPanel default) | ? No afectado en planes hPanel | OK si usas hPanel |
| SiteGround | ? Parche aplicado | Verificar logs de acceso |
| VPS o servidor dedicado propio | ? Depende de ti | Actualizar manualmente HOY |
Si no tienes idea de qué hosting usas o quién es responsable de actualizarlo, ese es exactamente el problema. Tu sitio probablemente lleva semanas vulnerable y nadie lo está cuidando.
Las 7 acciones inmediatas (esta semana)
Aplica esto en orden, hoy mismo si tu sitio es importante para tu negocio.
1. Pregunta a tu hosting si actualizó
Manda este correo o ticket exacto a tu proveedor de hosting:
"Buen día. Necesito confirmar si los servidores donde está alojado mi cuenta fueron actualizados al parche de cPanel publicado el 22 de abril de 2026 que corrige CVE-2026-41940. Por favor confírmenme: 1) la versión actual de cPanel, 2) la fecha en que se aplicó el parche, y 3) si detectaron actividad sospechosa en el servidor antes del parche."
Si te responden con respuestas vagas o tardan más de 24 horas, considera seriamente cambiar de proveedor.
2. Cambia TODAS las contraseñas relacionadas
No solo la del cPanel. Todo lo que ese cPanel administra:
- Contraseña principal de cPanel
- Contraseñas de todas las cuentas FTP / SFTP
- Contraseñas de bases de datos MySQL
- Contraseñas de cuentas de correo
- Claves API que estén guardadas en archivos de configuración
- Tokens de acceso a servicios externos (Stripe, MercadoPago, AWS, etc.) si los almacenas en el servidor
3. Activa MFA en cPanel y WHM
cPanel soporta autenticación de dos factores. Casi nadie la activa porque el setup inicial es default sin MFA. Actívalo hoy en cPanel ? Security ? Two-Factor Authentication.
4. Revisa archivos modificados recientemente en tu sitio
Por SSH o terminal de cPanel:
find ~/public_html -type f -mtime -30 -ls | head -100Busca archivos que NO recuerdes haber subido en los últimos 30 días, especialmente:
- Archivos PHP en lugares raros (/wp-content/uploads/, /tmp/, etc.)
- Archivos con nombres aleatorios (xj82h.php, abc123.php)
- Archivos con permisos 777
- Archivos modificados a horas insólitas (3 AM)
5. Revisa cuentas de correo no autorizadas
En cPanel ? Email Accounts. Cualquier cuenta que no recuerdes haber creado es bandera roja. Los atacantes crean cuentas tipo support@tudominio.com o admin2@tudominio.com para suplantar tus correos.
6. Revisa reglas de redireccionamiento de correo
cPanel ? Email ? Forwarders. Los atacantes configuran reenvíos silenciosos para recibir copia de tus correos sin que te enteres. Borra todo lo que no reconozcas.
7. Activa registros de acceso completos
cPanel ? Metrics ? Errors / Visitors. Si ves IPs extranjeras (China, Rusia, Vietnam, etc.) accediendo a /cpanel o /whm en horarios donde tú no estabas trabajando, hay alta probabilidad de compromiso.
Si encuentras señales de compromiso, qué NO hacer
El instinto natural es: "borro todo y reinstalo". Es el peor movimiento posible si quieres saber quién entró y qué se llevó. En su lugar:
- NO reinstales nada todavía. Pierdes la evidencia forense.
- NO cambies aún las contraseñas. Cambia primero las críticas (banca, correo) en otros servicios para contener el daño, pero deja el cPanel en estado actual.
- Sí saca un backup completo del estado comprometido a un disco externo que NO se vuelva a conectar.
- Sí documenta: capturas de archivos sospechosos, logs, fecha y hora.
- Llama a un especialista antes de tocar más. La diferencia entre "se metieron" y "se metieron y se quedaron meses" es lo que ve un análisis forense correcto.
El problema de fondo: el "no es mi problema"
El 80% de las PyMEs mexicanas tiene su sitio en hosting compartido por $200-500 pesos al mes. Cuando algo así pasa, la respuesta común es:
"Eso lo arregla mi hosting, ¿no?"
Sí — pero solo el servidor. No tus archivos, no tus contraseñas, no las cuentas falsas de correo creadas, no las puertas traseras instaladas en tu WordPress, no los datos de tus clientes ya copiados.
El parche de cPanel evita que vuelvan a entrar por esa puerta. NO repara lo que ya hicieron mientras estuvieron dentro. Esa parte es responsabilidad tuya.
Y si tu hosting tampoco te avisó proactivamente del parche, esa es la verdadera señal: no tienes a nadie cuidándote la espalda.
Lo que pasó esta semana en cifras
- 22 de abril 2026: cPanel publica parche de emergencia
- 22-29 de abril 2026: ventana de actualización masiva de hostings
- ~70 millones de dominios potencialmente afectados a nivel mundial
- CVSS 9.8/10 — la categoría más alta de severidad
- Explotación previa al parche confirmada en al menos 3 países
Si manejas tu propio servidor o VPS sin actualizaciones automáticas, la ventana de exposición fue de semanas.
En ALMSTRA hacemos auditoría post-CVE en 24 horas
Ante incidentes como este, lanzamos un servicio express: "Auditoría cPanel Post-CVE 24H" para empresas con presencia digital en hosting compartido o VPS.
- Verificación de versión cPanel/WHM actual
- Búsqueda de webshells, archivos modificados, cuentas no autorizadas
- Revisión de forwarders, autoresponders, cuentas FTP
- Análisis de logs de acceso de los últimos 60 días
- Revisión de WordPress / sitios alojados en busca de plugins comprometidos
- Reporte por escrito con evidencia y plan de remediación
- Si encontramos compromiso: limpieza completa + hardening
? Agendar auditoría 24h — diagnóstico inicial gratuito de 30 min para evaluar tu exposición.
? ¿Ya sospechas que entraron? Respuesta inmediata aquí
Lecturas relacionadas:
- Microsoft 365 NO es seguro por default — las 15 configuraciones críticas
- El hackeo a BePrime y por qué tu proveedor puede ser tu mayor riesgo
- LFPDPPP 2025: multa de $36M MXN por filtración de datos
Fuentes y lectura complementaria
- Critical cPanel Authentication Vulnerability Identified — Update Your Server Immediately — The Hacker News
- cPanel zero-day exploited for months before patch release (CVE-2026-41940) — Help Net Security
- Grave vulnerabilidad en autenticación de cPanel y WHM — elhacker.NET
- Vulnerabilidad crítica en cPanel — Masterhacks Blog
- Vulnerabilidad Crítica en cPanel & WHM — Telconet CSIRT
- A new cPanel bug let attackers walk into 70 million websites without a password — Martin Cid Magazine
- cPanel Releases Emergency Patch for Critical Authentication Flaw — GBHackers
- Monitoreo de amenazas en hosting compartido 2026 — DonWeb News
Etiquetas
Sobre el autor
Benjamin Enrique Almada Estrada
Director General — ALMSTRA
ALMSTRA es una empresa mexicana de ciberseguridad y soporte TI con base en Hermosillo, Sonora. Acompañamos a PyMEs y medianas empresas con operación 24/7, respuesta a incidentes y cumplimiento LFPDPPP.
¿Tu empresa necesita auditar esto?
Te ofrecemos un diagnóstico gratuito de 45 minutos — evaluamos tu exposición actual y te entregamos un plan priorizado sin compromiso.