📋
✅ Checklist post-incidente

¿Cuál es el checklist mínimo de seguridad web que toda empresa debería tener en 2026?

CVE-2026-41940 no fue un ataque sofisticado. Fue un ataque a empresas que no tenían lo básico. Este es el checklist mínimo que marca la diferencia entre ser víctima y estar preparado.

🗓 8 Mayo 2026⏱ 10 min lectura🏢 Para toda empresa con presencia web

La lección más importante de CVE-2026-41940 no es técnica. Es organizacional: la mayoría de las empresas que sufrieron impacto no contaban con mecanismos básicos para saber si su infraestructura web estaba en riesgo, ni con un proceso para reaccionar cuando lo estaba.

No hace falta un equipo de seguridad dedicado para implementar los controles básicos. Hace falta prioridad y 48 horas de trabajo. Aquí está la lista, organizada por lo que puedes hacer hoy, esta semana y este mes.

Bloque 1 — Conoce tu infraestructura

No puedes proteger lo que no sabes que tienes. El primer bloque es inventario puro.

  • 1Inventario de todos tus dominios activos: ¿Cuántos dominios tiene tu empresa? ¿Están todos activos? ¿Cuáles tienen alojamiento con cPanel? Muchas empresas en Chile y Perú descubren dominios abandonados con software desactualizado solo cuando son comprometidos.
  • 2Inventario del software de cada sitio: ¿Qué gestor de contenidos usa? ¿Qué versión? ¿Qué extensiones están activas? ¿Cuándo fue la última actualización? Esta información debe estar documentada, no solo en la memoria de alguien.
  • 3Nombre y contacto de soporte de emergencia de tu proveedor de alojamiento: No el formulario de tickets. El número de teléfono o el chat de soporte urgente. Cuando algo falla a las 11 de la noche, necesitas ese dato disponible.
  • 4Saber qué versión de cPanel o software de servidor tienes: No deberías enterarte de que tienes una vulnerabilidad por las noticias. Deberías poder verificarlo tú mismo en 2 minutos.

Bloque 2 — Detección temprana

Herramientas de monitoreo esenciales
Monitoreo de disponibilidad
UptimeRobot o Freshping — gratuitos, alertas en menos de 5 min
Reputación web
Google Search Console — detección de código malicioso e indexación
Escáner de código malicioso
Sucuri SiteCheck — análisis externo gratuito
Alertas de seguridad
Suscripción a alertas del proveedor de alojamiento y de cPanel
Monitoreo de vulnerabilidades activas
CISA KEV feed — catálogo de vulnerabilidades explotadas activamente
Costo total
$0 — todo lo anterior es gratuito en su nivel básico

Bloque 3 — Copias de respaldo que realmente funcionan

  • 1Copias de respaldo diarias automáticas en ubicación externa al servidor: Una copia de respaldo en el mismo servidor que fue cifrado por ransomware no tiene ningún valor. Necesitas copias en S3, Backblaze, Google Drive o cualquier almacenamiento externo independiente.
  • 2Verificar que las copias de respaldo funcionan realmente: El 40 % de las copias de respaldo fallan cuando se necesitan. Haz una restauración de prueba cada trimestre. Es la única forma de confirmar que el respaldo sirve.
  • 3Retención mínima de 30 días: Si el compromiso fue silencioso, puede pasar semanas antes de detectarse. Con 7 días de retención, ya no tendrás una copia limpia. Con 30 días, tienes margen suficiente.
  • 4Conocer exactamente cómo restaurar, antes de necesitarlo: Documenta el proceso de restauración paso a paso. Cuando necesitas restaurar, no es el momento de descubrir cómo se hace.

Bloque 4 — Parches y actualizaciones

A

Activar actualizaciones automáticas donde sea posible

WordPress, extensiones, gestores de contenidos, cPanel — todo lo que tenga opción de actualización automática, actívala para seguridad. El argumento "una actualización puede romper algo" tiene menos peso que "una vulnerabilidad sin parchar puede comprometer todo".

B

Suscribirte a las alertas de seguridad de tu proveedor

cPanel tiene una lista de alertas de seguridad en su sitio de soporte. Tu proveedor de alojamiento debería tener una página de estado. Google Search Console avisa cuando tu sitio aparece como peligroso. Suscríbete a todo esto ahora — es información crítica que no debería llegarte por redes sociales.

CISA KEV feed: catalog.cisa.gov/json — lista en formato JSON con todas las vulnerabilidades explotadas activamente. Configura una revisión semanal para verificar si alguna afecta a tu entorno.
C

Definir un acuerdo interno de tiempos de parche

Para vulnerabilidades con puntuación CVSS igual o superior a 9.0, con explotación activa confirmada en el catálogo KEV, el estándar de la industria es parchear en menos de 24 horas. Para el resto de vulnerabilidades críticas, 72 horas. Documenta esto en tu política de seguridad, aunque sea un párrafo.

Bloque 5 — Respuesta a incidentes

No necesitas un plan de 50 páginas. Necesitas respuestas claras a estas preguntas antes de que ocurra el incidente:

  • 1¿Quién toma la decisión cuando el sitio cae o es comprometido? ¿Y si esa persona no está disponible?
  • 2¿Cómo comunicáis a clientes si hay un problema grave? ¿Tienen un canal alternativo al correo corporativo, que puede estar caído?
  • 3¿Qué plantilla de comunicación usaréis? Redactar el mensaje bajo presión es una mala idea.
  • i¿Tienen obligaciones legales de notificación si los datos de clientes son comprometidos? En Chile y Perú, y para clientes de la Unión Europea, la respuesta es casi siempre sí.
La inversión real en seguridad básica

Monitoreo de disponibilidad, Google Search Console, una herramienta de respaldo externo, y 2 horas de trabajo para documentar quién hace qué ante un incidente. Eso es todo lo que separa a la mayoría de las empresas de quedar completamente expuestas ante el próximo CVE crítico. El costo es prácticamente nulo. El valor, enorme.

Fuentes