🚨

¿Cómo saber si hackearon tu sitio web? Señales de contenido extraño y cómo recuperarlo

Si entras a tu web y ves cosas que tú no publicaste — o si Google la marca como peligrosa — es posible que tu servidor haya sido comprometido. No te desesperes. Aquí está qué hacer, paso a paso.

🗓 Mayo 2026 ⏱ 8 min lectura 🆘 Para situaciones urgentes

Mi web empezó a mostrar una página completamente diferente. Dice cosas en inglés que yo nunca escribí y tiene enlaces extraños. En Google ya aparece con un aviso de que el sitio es peligroso. ¿Qué hago? Tengo una tienda en línea y mis clientes pueden ver esto.

— Caso real reportado en foro de WordPress, mayo 2026

Lo primero que debes saber: no estás solo y esto tiene solución. Lo que describes es consecuencia de un ataque que aprovechó la vulnerabilidad de cPanel, la cual afectó a miles de servidores en todo el mundo. En este caso concreto, el servidor sí fue comprometido. Actuemos con calma y en orden.

Confirma primero qué está ocurriendo

1

Verifica desde otro dispositivo y otra red

Pídele a alguien de confianza que abra tu web desde su teléfono con datos móviles (no desde tu red habitual). A veces el contenido alterado solo aparece para ciertos visitantes o desde ciertas direcciones IP — los atacantes lo hacen así para no ser detectados fácilmente.

2

Analiza tu web con Sucuri SiteCheck

Ingresa a sitecheck.sucuri.net y escribe la dirección de tu web. Es gratuito y tarda unos 30 segundos. Te indicará si hay código malicioso detectado, si tu dominio está en listas negras y si hay código sospechoso inyectado en tu sitio.

3

Revisa Google Search Console

Si tienes tu sitio registrado en Google Search Console, accede a la sección "Problemas de seguridad". Google detecta y alerta sobre código malicioso y contenido engañoso. Si hay una alerta activa, verás exactamente qué tipo de problema encontraron.

Si aún no tienes tu sitio en Search Console, regístralo en search.google.com/search-console — es gratuito y es una herramienta que todo propietario de sitio web debería utilizar.

Los pasos inmediatos — en este orden exacto

1

Llama al soporte de tu hosting ahora mismo

No envíes solo un ticket por correo — pueden tardar horas en responder. Busca el número de teléfono o el chat en vivo de tu hosting y contacta al soporte de urgencias. Diles exactamente: "Mi sitio web fue comprometido y está mostrando contenido malicioso. Necesito ayuda urgente para suspenderlo mientras lo limpiamos."

2

Solicita que suspendan el sitio de forma temporal

Mientras el sitio permanece activo con contenido malicioso, está dañando tu reputación, poniendo en riesgo a tus visitantes y siendo detectado activamente por Google como peligroso. Es preferible tener el sitio en mantenimiento que activo con código malicioso.

3

Busca la copia de seguridad más antigua disponible

Pregunta a tu hosting si disponen de copias de seguridad automáticas y hasta qué fecha tienen disponibles. Necesitas una copia de antes del 23 de febrero de 2026 — la fecha en que se detectaron los primeros ataques asociados a esta vulnerabilidad. Si tienes copias propias en Dropbox, Google Drive o similar, revísalas también.

Si tu hosting solo conserva copias de los últimos 7 días y el ataque fue silencioso durante semanas — todas esas copias pueden estar ya comprometidas. En ese caso, puede que sea necesario reconstruir el sitio desde cero usando tus archivos locales o capturas de Google Cache.
4

Cambia TODAS las contraseñas desde un dispositivo diferente

Cambia las contraseñas de cPanel, FTP, bases de datos, correo corporativo y WordPress (si lo usas) desde un equipo o teléfono que no sea el que utilizas habitualmente para gestionar la web. Hazlo también desde una red diferente — por ejemplo, los datos móviles de tu teléfono.

5

Documenta todo antes de eliminar nada

Toma capturas de pantalla del contenido malicioso, guarda los mensajes de error que aparecen y anota las fechas. Esto es importante si necesitas hacer una reclamación al seguro, si tienes obligaciones legales de notificación o si deseas presentar una denuncia.

¿Debo avisar algo a mis clientes?

Q¿Pueden mis clientes haber sido afectados al visitar mi web comprometida?

Depende del tipo de código malicioso. Algunos tipos simplemente cambian el contenido visible (desfiguración del sitio). Otros intentan descargar programas dañinos en los equipos de los visitantes o robar contraseñas. Si el análisis de Sucuri indica "código malicioso que afecta a visitantes", deberías avisar a quienes visitaron tu web en los últimos días.

QTengo una tienda en línea — ¿pueden haber robado datos de mis clientes?

Si tienes comercio electrónico con base de datos de clientes (nombres, correos electrónicos, direcciones, historial de pedidos), esos datos pueden haber sido accedidos. Si procesas pagos con tarjeta directamente en tu servidor (sin pasarela de pago externa como Stripe o PayPal), el riesgo es mayor. En caso de duda, asume que hubo acceso a los datos y consulta con un asesor legal sobre las obligaciones de notificación que aplican en Chile o Perú.

Q¿Cómo recupero la reputación de mi web en Google?

Una vez que limpies el sitio (mediante restauración desde una copia limpia o eliminación manual del código malicioso), debes solicitar una revisión en Google Search Console, en la sección "Problemas de seguridad". Google normalmente responde en 1 a 3 días hábiles y, si el sitio está limpio, elimina el aviso de peligro.

Un paso importante antes de restaurar

Asegúrate de que tu hosting aplicó el parche para CVE-2026-41940 antes de restaurar tu sitio. Si restauras una copia limpia en un servidor que sigue siendo vulnerable, el sitio puede volver a ser comprometido en pocas horas. Pregunta de forma explícita: "¿Han aplicado el parche para CVE-2026-41940 en mi servidor antes de que proceda con la restauración?"

Fuentes