Decenas de millones de webs en todo el mundo están en riesgo por una vulnerabilidad crítica recién descubierta en cPanel y WebHost Manager (WHM), el software de gestión de servidores que utiliza la mayor parte de la industria de hosting. Lo cuenta Zack Whittaker en TechCrunch este 30 de abril. El bug, registrado oficialmente como CVE-2026-41940, permite a hackers saltarse la pantalla de login de forma remota y obtener acceso administrativo completo al panel de gestión del servidor. Eso significa control total de los datos, las webs, las bases de datos y los emails que el servidor aloje.
La agencia canadiense de ciberseguridad ha emitido un aviso oficial: «la explotación es altamente probable» y se requiere acción inmediata. Lo más preocupante: un hosting ya ha detectado intentos de explotación desde el 23 de febrero, dos meses antes de que el parche estuviera disponible. Los atacantes llevaban semanas con la llave maestra antes de que cPanel lo hiciera público.
Por qué cPanel y WHM son objetivos de tan alto valor
cPanel y WHM son dos paquetes de software para administrar servidores web que alojan sitios, gestionan correos y manejan configuraciones críticas y bases de datos necesarias para mantener un dominio de internet. Tienen acceso profundo a los servidores que gestionan, lo que da a un atacante con éxito acceso prácticamente sin restricciones a los datos manejados por el software afectado.
La ubicuidad es lo que convierte el problema en sistémico. Si pagas un hosting compartido en Hostgator, Namecheap, Bluehost, KnownHost o cualquier proveedor mainstream, casi seguro estás detrás de un panel cPanel/WHM. La industria del hosting ha estandarizado este software desde hace 25 años por buenas razones: funciona, es robusto y los administradores lo conocen. Pero esa estandarización también significa que un único bug afecta a una proporción enorme del web público.
Los proveedores grandes ya han parcheado los sistemas de sus clientes, pero cPanel insistió en que los administradores comprobasen que el parche está aplicado, porque el bug afecta a todas las versiones soportadas del software. Si gestionas tu propio servidor con cPanel/WHM autohospedado o eres cliente de un hosting pequeño que va con retraso, el riesgo es tuyo.
Qué hace exactamente CVE-2026-41940
El bug se traduce en un «authentication bypass»: el atacante puede acceder al panel de administración sin credenciales válidas. Una vez dentro, tiene control completo sobre el sistema, lo que le permite añadir archivos maliciosos, exfiltrar datos, instalar puertas traseras persistentes, modificar páginas, robar credenciales de email/FTP/bases de datos, redirigir tráfico o usar el servidor como punto de pivote para atacar otros sistemas.
Hostgator confirmó que ha parcheado sus sistemas y describió la vulnerabilidad como un «exploit crítico de bypass de autenticación». Namecheap directamente bloqueó el acceso de sus clientes a sus paneles cPanel cuando se enteró del fallo, para prevenir explotación mientras parcheaba los sistemas. Esto es relevante: cuando un proveedor grande prefiere romper el servicio antes de exponer los paneles, la severidad del problema está fuera de discusión.
cPanel también ha distribuido un parche de seguridad para WP Squared, una herramienta similar para gestionar sitios WordPress. El alcance del problema, por tanto, no se limita al ecosistema clásico cPanel/WHM.
La explotación llevaba meses activa antes del parche
El detalle más revelador del reportaje viene de KnownHost. Daniel Pearson, CEO de la compañía, publicó en Reddit que su empresa ha detectado intentos de explotación de la vulnerabilidad desde el 23 de febrero, más de dos meses antes de que cPanel lanzara el parche. Aproximadamente 30 servidores de KnownHost, sobre miles en su red, mostraron señales de intento de acceso no autorizado. Pearson aclaró que se trataba de «intentos» y no detectó señales de compromiso activo, pero el dato cambia la lectura del incidente.
Esto significa que CVE-2026-41940 fue un zero-day que algún actor descubrió y empezó a usar antes de que la industria de seguridad lo conociera. Cuando los hackers conocen un bug que el desarrollador todavía no, todos los sistemas afectados están a su merced hasta que se publica el parche y los administradores lo aplican. Y ese intervalo, en este caso, fue de al menos dos meses con explotación activa documentada.
Qué tienes que hacer si gestionas un sitio web
La acción depende de tu situación.
Si eres cliente de un hosting compartido grande (Hostgator, Namecheap, Bluehost, GoDaddy con cPanel, KnownHost), tu proveedor probablemente ya ha parcheado. Comprueba el blog de estado del proveedor o sus comunicaciones recientes. Aun así, conviene cambiar las contraseñas administrativas y revisar logs de acceso de los últimos 60 días en busca de actividad anómala.
Si gestionas tu propio servidor con cPanel/WHM, aplica el parche inmediatamente. El aviso oficial está en support.cpanel.net (referencia CVE-2026-41940). Antes de aplicarlo, considera bloquear el acceso al panel de cPanel y WHM por IP (firewall a nivel de servidor) hasta que el parche esté instalado.
En cualquier caso, conviene revisar archivos modificados recientemente, cuentas de email creadas, redirects raros y registros DNS modificados. Si encuentras algo sospechoso, asume compromiso completo y restaura desde un backup limpio anterior al 23 de febrero.
Mi valoración
La parte que más me preocupa de este incidente es la asimetría temporal entre atacantes y defensores. Los hackers tuvieron al menos dos meses para explotar el bug antes del parche, y muchos administradores tardarán semanas más en aplicarlo. Eso significa que estamos hablando de una ventana de oportunidad de 3-6 meses durante los cuales los servidores comprometidos pueden tener puertas traseras instaladas que sobrevivirán al parche del bug original. Lo que más me convence del reportaje de Whittaker es que documenta el caso real de KnownHost: 30 servidores con señales de acceso intentado, lo que sugiere que el grupo o grupos detrás del exploit tuvieron criterios de selección concretos (probablemente perfiles de víctima por ingresos potenciales) y no intentos automatizados masivos. Si los atacantes hubiesen ejecutado scans masivos, todos los hostings habrían visto un volumen mucho mayor de intentos. Que solo 30 servidores de miles muestren señales sugiere ataques dirigidos, no oportunistas, y eso suele indicar criminales sofisticados que monetizan el acceso (ransomware, robo de datos, infraestructura de phishing) en lugar de defacers oportunistas. Lo más estructuralmente significativo es lo que el incidente dice sobre la concentración de la web. cPanel/WHM gestiona «decenas de millones de webs», según TechCrunch, y la industria entera depende de ese único proveedor para gestión de servidores compartidos. Es un punto único de fallo de la web pública. La diversificación tecnológica reduciría este tipo de riesgo, pero el coste de gestión sería tan alto que ninguna empresa de hosting lo asume voluntariamente. Mientras tanto, cada vulnerabilidad crítica de cPanel se traduce automáticamente en una emergencia para una fracción significativa del internet del consumidor. La pregunta a 12 meses no es si habrá otra CVE crítica de cPanel (la habrá, todos los años hay una o dos), sino si los hostings empezarán a aplicar segregación de privilegios más agresiva y firewalls a nivel de panel para reducir la ventana de exposición. Mi predicción es que la presión de las aseguradoras de ciberseguridad acabará forzando esa migración, antes que el cumplimiento regulatorio o la decisión voluntaria de los proveedores.
Preguntas frecuentes
¿Qué webs concretas se ven afectadas por CVE-2026-41940? No hay una lista pública, pero cualquier servidor que ejecute cPanel o WHM en cualquier versión soportada antes del parche del 28 de abril es potencialmente vulnerable. Eso incluye decenas de millones de sitios alojados en hosting compartido, VPS y servidores dedicados gestionados con cPanel.
¿Cómo sé si mi hosting ha aplicado el parche? Comprueba el blog de estado o las comunicaciones recientes del proveedor (Hostgator, Namecheap, Bluehost, KnownHost han confirmado parches públicamente). Si no hay comunicación clara, contacta con soporte y pregunta explícitamente por CVE-2026-41940. Si el proveedor no puede confirmar, considera cambiar las contraseñas administrativas y revisar los logs.
¿Mi sitio WordPress está afectado si no uso cPanel? No directamente. CVE-2026-41940 afecta al panel de gestión del servidor, no a WordPress. Pero si tu hosting usa cPanel y un atacante comprometió el panel, podría haber accedido a los archivos de tu instalación WordPress sin necesidad de explotar WordPress. cPanel también ha distribuido un parche para WP Squared, herramienta de gestión WordPress complementaria.