Un grupo de atacantes logró tomar control del sistema de actualizaciones de Smart Slider 3 Pro —el popular plugin para crear sliders responsivos en WordPress y Joomla— y distribuyó una versión maliciosa que introdujo múltiples puertas traseras en los sitios que la instalaron. El problema afectó concretamente a la versión Pro 3.5.1.35, y el desarrollador recomienda actualizar de inmediato a la versión limpia 3.5.1.36 o restaurar a cualquier versión anterior a la 3.5.1.35.
Smart Slider 3 para WordPress está presente en cientos de miles de páginas —la ficha oficial del plugin en el repositorio de WordPress refleja su amplia adopción—, lo que convierte este incidente en un ejemplo clásico de ataque a la cadena de suministro: comprometer un componente muy extendido para alcanzar una gran superficie de objetivos. Cuando un plugin con tanta instalación activa se ve comprometido, el riesgo para la web pública es significativo. Puedes ver la información del plugin en WordPress.org aquí.
El análisis forense realizado por PatchStack, una firma especializada en seguridad para WordPress y software abierto, describe la amenaza como una “herramienta de malware completa y por capas” que fue embebida en el archivo principal del plugin sin romper la funcionalidad legítima del slider. Esto significa que, a simple vista, el plugin podía seguir funcionando y el administrador no notaría anomalías funcionales mientras el atacante mantenía un acceso persistente.
Entre las capacidades maliciosas detectadas están la ejecución remota de comandos sin autenticación mediante cabeceras HTTP manipuladas, una puerta trasera adicional que permite ejecutar código PHP (eval) y comandos del sistema con autenticación, y procedimientos automatizados para robar credenciales. Para asegurar persistencia, los atacantes no se limitaron a un único vector: crearon una cuenta administrativa oculta (con un patrón de nombre que suele comenzar por “wpsvc_”), añadieron un plugin “must-use” en el directorio mu-plugins (que carga automáticamente y no puede desactivarse desde el panel), inyectaron código malicioso en el archivo functions.php del tema activo, colocaron ficheros en wp-includes que imitan clases del núcleo de WordPress y guardaron una clave de autenticación en un archivo .cache_key. Una consecuencia importante es que algunos de estos backdoors funcionan incluso si se cambian las credenciales de la base de datos, porque leen su llave de autenticación desde ese archivo en disco, tal como explica el informe de PatchStack.
El equipo de Smart Slider confirmó que la actualización maliciosa se distribuyó el 7 de abril, y aconseja que, en caso de restauración por copia de seguridad, lo más seguro es volver a un estado anterior al 5 de abril para cubrir cualquier desfase horario. El proveedor publicó sus avisos y guías de recuperación para WordPress y Joomla; puedes consultarlos en la documentación oficial de Smart Slider: aviso para WordPress y aviso para Joomla.
Si tienes sitios que usan Smart Slider 3 Pro, asume lo peor si encontraste la versión comprometida: hay que dar por hecho una posible toma completa del sitio. El fabricante y los investigadores recomiendan medidas exhaustivas: eliminar usuarios administrativos sospechosos, borrar archivos y entradas de base de datos maliciosas, reinstalar el núcleo de WordPress/joomla, plugins y temas desde fuentes limpias, y rotar todas las credenciales (administrativas, base de datos, FTP/SSH, panel de hosting y correos). También sugieren regenerar las claves de seguridad de WordPress y revisar logs y escaneos para detectar restos del malware.
Además de la limpieza inmediata, es clave endurecer la plataforma para reducir la probabilidad de reinfecciones: activar la autenticación de dos factores para cuentas administrativas, limitar el acceso al panel (por ejemplo por IP o mediante roles más restrictivos), imponer contraseñas únicas y robustas, mantener todos los componentes siempre actualizados y usar herramientas de detección y respuesta para entornos web. Si no dispones de copias de seguridad anteriores a la fecha marcada, la recomendación es eliminar el plugin afectado y reinstalar la versión segura 3.5.1.36 desde la fuente oficial.
Detectar la intrusión puede requerir búsqueda específica: revisa si hay usuarios con prefijos inusuales (como wpsvc_), directorios mu-plugins nuevos o archivos extraños en /wp-includes, ficheros .cache_key, y entradas inusuales en tablas de la base de datos. Scans con herramientas especializadas y la revisión manual de archivos y registros entregan mejor garantía que confiar solo en un escaneo automático. Si te resulta complejo, contratar a un servicio de respuesta a incidentes o a un consultor en seguridad WordPress es una inversión prudente.
Este incidente es un recordatorio de que la seguridad de la web depende tanto de la integridad de los componentes de terceros como de las buenas prácticas del administrador. Los ataques a la cadena de suministro son especialmente peligrosos porque explotan la confianza y el alcance de componentes muy populares, por eso es fundamental combinar copias de seguridad regulares, controles de integridad de archivos, y políticas de actualización y acceso estrictas.
Si quieres, puedo preparar una lista detallada de comprobaciones concretas para tu sitio (comandos para buscar archivos y entradas sospechosas, patrones de nombres de usuarios a revisar, o pasos para regenerar las claves de WordPress), o asesorarte sobre servicios y herramientas de limpieza y monitorización recomendadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...