Entiendo que fue un fallo de cPanel. Pero ahora mismo no sé si confiar en que mi hosting tiene esto bajo control. ¿Qué están haciendo para que no vuelva a ocurrir algo así?
Es exactamente la pregunta correcta. Y la respuesta honesta es: no podemos prometerte que nunca habrá otro incidente de seguridad — nadie puede garantizarlo. Los fallos en el software ocurren. WebPros tiene una vulnerabilidad crítica en cPanel cada cierto tiempo, al igual que casi todos los fabricantes de software.
Lo que sí podemos prometerte es que aprendemos de cada incidente. Esto es lo que estamos haciendo de forma concreta tras lo ocurrido.
El problema de fondo: no supimos antes que el problema existía
La vulnerabilidad CVE-2026-41940 estuvo activa desde el 23 de febrero de 2026. El parche llegó el 28 de abril. Son 64 días en los que los atacantes conocían la vulnerabilidad y nosotros no. Ese es el principal punto de fallo que hay que abordar.
Lo que estamos haciendo para cada uno de esos problemas
Presión coordinada sobre WebPros para mejorar el proceso de divulgación
Junto con otros proveedores de hosting, participamos en la presión formal sobre WebPros para que adopte un proceso de notificación privada anticipada hacia los hosting providers. La industria necesita que los fabricantes de software avisen a quienes operamos su software antes de informar al público, no de forma simultánea.
Este modelo ya funciona con muchos otros fabricantes de software crítico. No hay razón para que cPanel sea una excepción.
Detección de exploits desconocidos mediante IA de comportamiento
Para el escenario de zero-day — cuando hay explotación activa de una vulnerabilidad que nadie conoce aún — estamos reforzando nuestros sistemas de detección basados en comportamiento anómalo, en lugar de firmas conocidas.
Un sistema que detecta "alguien está haciendo algo inusual con los archivos de sesión de cPanel" funciona incluso cuando aún no existe el CVE-2026-41940 en ninguna base de datos. Ese tipo de detección conductual es en lo que más estamos invirtiendo en los próximos meses.
Sistema de comunicación de incidentes mejorado
Reconocemos que durante las primeras horas del incidente, muchos clientes no sabían qué estaba ocurriendo. Estamos implementando un sistema de notificación automática que envía avisos a los clientes afectados en cuanto se activa un protocolo de incidente, sin esperar a que el equipo de comunicación tenga tiempo de redactar un mensaje.
Los avisos automáticos de primera hora no serán perfectos ni completos, pero te informarán de que algo está ocurriendo y de que estamos trabajando en ello — que es la información más importante en esos primeros minutos.
Actualizaciones automáticas de seguridad con verificación
Estamos revisando la configuración de actualizaciones automáticas en todos nuestros servidores para garantizar que los parches de seguridad críticos se apliquen automáticamente en las primeras horas, sin necesidad de intervención manual, y con verificación automática de que el parche se instaló correctamente antes de restaurar el acceso.
Auditoría de seguridad trimestral de toda nuestra infraestructura
Implementamos revisiones de seguridad trimestrales realizadas por auditores externos. El objetivo es detectar configuraciones débiles, software con versiones desactualizadas y posibles vectores de ataque antes de que los encuentren los atacantes. Los resultados resumidos de estas auditorías los compartiremos con nuestros clientes.
Lo que tú puedes hacer para que el próximo incidente te afecte menos
La seguridad de tu sitio web no depende solo de nosotros. Hay medidas sencillas que te protegen de forma significativa ante cualquier incidente futuro:
Si tienes los respaldos configurados en nuestro panel, perfecto. Pero asegúrate de tener también una copia en un lugar externo: Google Drive, Dropbox o el servicio de respaldo externo que prefieras. Un respaldo en el mismo servidor afectado no sirve de nada. Desde nuestro panel puedes configurar respaldos automáticos hacia almacenamiento externo.
Tenemos una lista de correo específica para alertas de seguridad e incidentes. Si estás suscrito, serás de los primeros en enterarte cuando algo ocurra, antes de que te enteres por las redes sociales o porque tu sitio dejó de cargar. Puedes suscribirte desde tu panel de cliente.
El correo corporativo alojado en el mismo servidor que tu sitio web genera una dependencia innecesaria. Si el servidor tiene problemas, el correo también los tendrá. Google Workspace o Microsoft 365 te ofrecen correo corporativo en una infraestructura independiente y más robusta. Si el correo es crítico para tu operación diaria, esa independencia vale lo que cuesta.
Herramientas gratuitas como UptimeRobot monitorizan tu sitio web cada 5 minutos y te avisan por correo o SMS cuando cae. Así serás el primero en saberlo, antes de que te llame un cliente diciéndote que no puede acceder a tu tienda.
CVE-2026-41940 fue un fallo de WebPros, los creadores de cPanel. No fue un fallo nuestro ni tuyo. Pero la responsabilidad de gestionar ese fallo de la forma más rápida y con el menor impacto posible para ti sí es nuestra. Y eso es lo que seguimos trabajando para mejorar cada día.
Fuentes
- CVE-2026-41940 — Aviso oficial de WebPros/cPanel— cPanel Support
- cPanel zero-day — el problema del disclosure tardío— Help Net Security
- cPanel's 30-Day Security Storm — lecciones de la industria— Panelica