La mañana del 28 de abril de 2026, el director ejecutivo de KnownHost recibió la notificación que ningún proveedor de alojamiento web quiere recibir: había una vulnerabilidad crítica en cPanel, existía un exploit funcional en circulación, y los atacantes ya llevaban meses aprovechándola. El parche existía, pero aplicarlo en miles de servidores simultáneamente requería tiempo que quizás no había.

La decisión que enfrentaban los grandes proveedores era un dilema sin salida limpia: dejar los servidores accesibles y vulnerables mientras duraba el proceso de actualización, o bloquear el acceso al panel de control de todos sus clientes de forma preventiva. Namecheap eligió lo segundo.

Lo que hizo cada proveedor — y cómo lo comunicó

¿Fue correcto que Namecheap bloqueara el acceso?

La respuesta corta es sí — aunque la comunicación podría haber sido mejor. El bloqueo preventivo fue la decisión técnicamente acertada: mantener servidores con una vulnerabilidad de puntuación CVSS 9.8, bajo explotación activa, mientras dura el proceso de actualización es inaceptable. Para los clientes que perdieron horas de acceso a su correo o a la gestión de su sitio, fue una situación incómoda. Pero comparado con la alternativa — servidores comprometidos, datos sustraídos, ransomware instalado — la interrupción temporal es, claramente, el mal menor.

El problema de divulgación: ¿por qué cPanel tardó tanto en avisar a los proveedores de alojamiento?

Help Net Security documentó un problema de transparencia en el proceso de divulgación: según fuentes de webhosting.today, la vulnerabilidad fue reportada a cPanel aproximadamente dos semanas antes del aviso público del 28 de abril. La respuesta inicial de cPanel habría sido que "no había ningún problema".

Esto plantea una pregunta que la industria deberá responder: ¿debería existir un proceso de notificación privada y anticipada a los grandes proveedores de alojamiento para que preparen sus procedimientos de actualización antes de la divulgación pública? Los 64 días de explotación silenciosa sugieren que el sistema actual de divulgación de vulnerabilidades tiene una brecha seria cuando se trata de infraestructura de alojamiento a gran escala.

Qué exigirle a tu proveedor de hosting después de este incidente

• 1Confirmación escrita del parche: Fecha de aplicación y versión de cPanel instalada. Cualquier proveedor serio puede proporcionar esta información en menos de 24 horas.
• 2Política pública de gestión de vulnerabilidades: ¿Cuánto tardan habitualmente en aplicar parches críticos? ¿Tienen un acuerdo de nivel de servicio documentado para vulnerabilidades con puntuación CVSS igual o superior a 9.0?
• 3Comunicación proactiva en incidentes de seguridad: ¿Te avisarán cuando algo crítico afecte tu infraestructura, o te enterarás por la prensa especializada?
• 4Cortafuegos de aplicaciones web incluido o disponible: Cloudflare publicó reglas de emergencia para CVE-2026-41940 el mismo día del parche. Un proveedor sin esta capacidad deja a sus clientes sin protección adicional.
• iEvalúa si el alojamiento compartido es el modelo adecuado para tu negocio: Este incidente es una buena oportunidad para analizar si el ahorro mensual del alojamiento compartido justifica depender totalmente de las decisiones de seguridad de tu proveedor.