Un fallo crítico de autenticación en cPanel/WHM, registrado como CVE-2026-41940, está siendo explotado en masa y ya se ha vinculado a campañas de ransomware dirigidas a servidores Linux que alojan sitios web. La vulnerabilidad permite a atacantes eludir los controles de acceso del panel de control y obtener privilegios administrativos sobre sitios, correos y bases de datos gestionados con cPanel/WHM; por eso la actualización de emergencia publicada a finales de abril es prioritaria para cualquier administrador de hosting. Puede consultar la notificación oficial y la actualización en el portal de cPanel: actualización de seguridad de cPanel.
Los registros de telemetría y reportes comunitarios muestran que la explotación no es teórica: fue aprovechada como un zero-day desde al menos finales de febrero y, según Shadowserver, decenas de miles de IPs con cPanel han sido comprometidas en esta ola inicial (informe de Shadowserver). Los atacantes están desplegando un cifrador escrito en Go denominado "Sorry", centrado en entornos Linux y que modifica extensiones de archivos, dejando un aviso de rescate por carpeta.
Desde el punto de vista técnico, el código malicioso reportado utiliza ChaCha20 para cifrar el contenido y protege la clave con una clave pública RSA-2048 integrada, lo que implica que la recuperación de datos sin la clave privada es prácticamente imposible salvo que se disponga de copias de seguridad válidas o se recupere la clave privada del atacante. Un muestreo del binario ha sido subido a plataformas de análisis como VirusTotal, lo que facilita la detección para equipos de respuesta: ejemplo de muestra en VirusTotal.
Si administras cPanel/WHM, la acción inmediata debe ser actualizar los servidores a la versión parcheada suministrada por cPanel antes de cualquier otra tarea de mitigación, porque la vulnerabilidad permite acceso administrativo directo. Tras parchear, aíslan los servidores comprometidos de la red, preserven evidencias de logs y procesos y no reinicien máquinas críticas sin coordinarlo con el equipo forense, ya que la volatilidad puede eliminar trazas importantes para determinar el punto de entrada y el alcance del ataque.
Para detección y contención, revisen los sistemas en busca de indicadores: archivos cifrados con la extensión '.sorry' (reportes sugieren que la extensión puede añadirse repetidamente), presencia de notas README.md con instrucciones de contacto, procesos anómalos en ejecución, entradas crontab o tareas programadas nuevas y webshells en directorios públicos. Complementen con escaneos de integridad sobre archivos web y bases de datos, análisis de cuentas con privilegios, cambios en claves SSH y rotación inmediata de credenciales expuestas. No paguen el rescate como primera opción; contacten a las autoridades y a su equipo legal y de seguridad para evaluar opciones, y consideren que la única manera fiable de restaurar es desde backups validados.
En el plano preventivo y de resistencia, los proveedores de hosting y administradores deben fortalecer políticas de acceso: limitar el acceso a puertos administrativos solo a direcciones IP permitidas, habilitar autenticación multifactor allí donde sea posible, revisar y endurecer reglas de firewall y WAF, y aplicar segmentación de red para que un panel comprometido no derive en la pérdida total de otras máquinas. También es crítico validar que las copias de seguridad estén fuera de línea o inaccesibles para el usuario que ejecuta el panel, y practicar restauraciones periódicas para asegurar la integridad de los backups.
Para equipos de respuesta intermediarios y clientes afectados, planifiquen una comunicación transparente: informen a clientes y partes interesadas sobre el alcance y las acciones en curso, documentando qué datos pueden haber sido expuestos y qué medidas se están tomando. Las organizaciones con grandes superficies de ataque deberían considerar un barrido de búsqueda de IOCs a nivel de proveedor y coordinar con equipos de inteligencia sobre amenazas para bloquear comandos y dominios asociados a la campaña.
Esta campaña demuestra cómo una vulnerabilidad en un componente central de gestión puede escalar rápidamente a pérdidas de datos generalizadas. La lección operativa es priorizar las actualizaciones de seguridad en herramientas de infraestructura, mantener copias de seguridad segregadas y automatizar la detección de cambios en entornos productivos. Espere que la explotación aumente en los próximos días y semanas: actuar con rapidez y método reduce la probabilidad de convertirse en la próxima víctima.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...