Miles de servidores web que utilizan el popular software de gestión cPanel continúan siendo víctimas de ciberataques masivos casi una semana después de que los desarrolladores alertaran sobre una vulnerabilidad crítica en el sistema. Los hackers están explotando activamente la falla de seguridad para comprometer sitios web y tomar control total de los servidores afectados, según datos de organizaciones de monitoreo de seguridad cibernética.
Según información publicada por Shadowserver, una organización sin fines de lucro que monitorea amenazas en internet, aproximadamente 550,000 servidores potencialmente vulnerables ejecutan cPanel a partir del lunes. Aunque esta cifra se ha mantenido estable durante varios días, el número de instancias de cPanel comprometidas ha descendido de alrededor de 44,000 el jueves pasado a aproximadamente 2,000 actualmente.
Explotación activa de la vulnerabilidad en cPanel
El jueves pasado, investigadores de seguridad informática advirtieron que los atacantes habían comenzado a comprometer servidores que ejecutan cPanel y WebHost Manager (WHM). Los ciberdelincuentes están aprovechando un error de seguridad que les permite tomar control completo de los servidores vulnerables a través de sus paneles de control.
La magnitud del daño es evidente, según reportó Bleeping Computer, porque Google ha indexado docenas de sitios web que en algún momento mostraron mensajes de un grupo de hackers. Estos mensajes afirmaban que los archivos de las víctimas habían sido cifrados en lo que parece ser un ataque de ransomware. Algunos de esos sitios ahora cargan normalmente.
Respuesta de las autoridades ante ataques a servidores cPanel
La Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) emitió una advertencia el jueves sobre la vulnerabilidad, identificada como CVE-2026-41940. La agencia confirmó que la falla estaba siendo explotada activamente y la agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
CISA solicitó a las agencias gubernamentales que aplicaran los parches de seguridad antes del domingo. Sin embargo, la agencia no respondió de inmediato a las solicitudes de comentarios sobre si puede confirmar que las agencias gubernamentales han actualizado sus servidores correctamente.
Cronología de los ataques
Los ataques contra servidores web que ejecutan cPanel y WHM probablemente han estado ocurriendo desde mucho antes de que se divulgara públicamente la vulnerabilidad. Según Daniel Pearson, director ejecutivo de KnownHost, su empresa detectó ataques tan temprano como el 23 de febrero.
Los hackers responsables incluyeron en sus notas de rescate un identificador de chat para que las víctimas los contactaran. No obstante, los atacantes no respondieron de inmediato a las solicitudes de comentarios realizadas por medios especializados en tecnología.
Impacto en millones de dominios web
Los ejecutivos de Webpros, la compañía que desarrolla cPanel y WHM, no respondieron a las solicitudes de comentarios sobre la situación. La empresa afirma que su software impulsa aproximadamente 60 millones de dominios en todo el mundo, lo que subraya la magnitud potencial del problema de seguridad.
La reducción significativa en el número de instancias comprometidas, de 44,000 a 2,000 en pocos días, sugiere que muchos administradores de sistemas han aplicado los parches de seguridad disponibles. Sin embargo, la persistencia de más de medio millón de servidores potencialmente vulnerables indica que el riesgo continúa siendo considerable.
Los próximos días serán cruciales para determinar si los administradores de los servidores restantes aplicarán las actualizaciones de seguridad necesarias. La comunidad de seguridad cibernética continuará monitoreando la situación para evaluar si surgen nuevas oleadas de ataques o si la tendencia de reducción de sistemas comprometidos se mantiene.