Un ataque de phishing aprovechando anuncios patrocinados en Google ha puesto en jaque a administradores de sitios WordPress que usan ManageWP, la plataforma de GoDaddy para gestionar múltiples instalaciones desde un único panel. En lugar de una página estática que solo roba credenciales, los atacantes han desplegado un esquema de tipo adversary-in-the-middle (AitM): la web falsa actúa como proxy en tiempo real entre la víctima y el servicio legítimo, capturando usuario, contraseña y el código de doble factor cuando se introduce.
La elección de Google Ads como vector no es casual: los investigadores de seguridad han demostrado que el resultado malicioso puede mostrarse por encima del enlace legítimo cuando un usuario busca "managewp", lo que explota la confianza y la inercia de quienes recurren a buscadores para localizar el acceso a sus herramientas. Al usar este camino los atacantes convierten una interacción cotidiana en una puerta de entrada inmediata para tomar control de cuentas que habitualmente administran centenares de sitios.
El riesgo real viene por la naturaleza misma de ManageWP: es un panel centralizado con capacidades que abarcan actualizaciones, accesos y automatizaciones sobre múltiples WordPress. Su plugin "worker", que provee ese control, está activo en más de un millón de instalaciones según el repositorio oficial de WordPress, por lo que una cuenta comprometida tiene capacidad de amplificar el daño muy por encima de una sola web https://wordpress.org/plugins/worker/. La campaña fue reportada públicamente y documentada por medios de seguridad, que a su vez citan el trabajo de los investigadores que rastrearon la infraestructura atacante https://www.bleepingcomputer.com/.
Además de robar credenciales, los operadores enviaban la información a un canal de Telegram y controlaban la estafa mediante un panel C2 interactivo que permitía una operación dirigida y en tiempo real; no parece ser una herramienta comercial genérica sino una framework privada con interfaz para el operador. Ese grado de “human-in-the-loop” eleva la sofisticación: el atacante responde dinámicamente a los pasos del usuario (por ejemplo solicitando el 2FA) y completa la toma de control de la cuenta mientras la víctima aún cree estar autenticándose correctamente.
Las implicaciones prácticas para agencias, desarrolladores y equipos que gestionan clientes son serias: una cuenta comprometida puede dar acceso a plugins y temas, permitir la inyección de puertas traseras en múltiples sitios, activar campañas de spam o incluso desplegar ransomware o abusos de reputación masiva. Por eso es imprescindible comprender que esta amenaza no es solo "otro correo de phishing", sino un ataque diseñado para burlar el 2FA y capitalizar la centralización de privilegios.
Si eres administrador de ManageWP o gestionas WordPress a escala, hay medidas concretas e inmediatas que reducen el riesgo: marca y usa exclusivamente la URL oficial del servicio (o mejor, accede desde un enlace guardado en el administrador de contraseñas), habilita y prioriza métodos de autenticación basados en hardware como FIDO2/WebAuthn en lugar de SMS o códigos TOTP cuando sea posible, y segmenta cuentas: evita usar la misma cuenta de ManageWP para todo el inventario si puedes delegar permisos. También conviene revisar y actualizar el plugin "worker" y las credenciales de API asociadas.
Si sospechas que tu cuenta fue comprometida, actúa con rapidez: cambia la contraseña desde un dispositivo limpio, revoca todas las sesiones activas y tokens de ManageWP, restablece o reemite las llaves de acceso, revisa registros de actividad y auditoría en busca de acciones no autorizadas y ejecuta un escaneo de integridad en los sitios gestionados. En caso de evidencia de intrusión en los sitios, considera restaurar desde copias de seguridad previas y auditar archivos y usuarios administrativos en cada instalación.
Organizaciones y proveedores deberían complementar las prácticas individuales con controles técnicos: filtros de DNS o proxies que bloqueen dominios sospechosos, políticas de bloqueo de anuncios en entornos de administración, detección de anomalías en inicios de sesión y alertas sobre cambios en la configuración de cuentas. También es vital reportar anuncios y páginas fraudulentas a Google y a GoDaddy/ManageWP para acelerar la remoción, y avisar a clientes afectados para que cambien credenciales y revisen sus activos.
Finalmente, este caso subraya una tendencia: los atacantes invierten en usabilidad y operaciones en tiempo real para sortear controles tradicionales y el escepticismo del usuario. La mejor defensa no es única, sino una combinación de higiene digital (contraseñas únicas y gestores), autenticación fuerte (preferir llaves FIDO/WebAuthn) y controles organizacionales que limiten el blast radius de una credencial robada. Vigila los accesos, comunica a tus clientes y trata la gestión centralizada como un activo crítico cuya seguridad merece políticas y revisiones periódicas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...