Si tu sitio web estuvo inaccesible los últimos días de abril o a principios de mayo de 2026, no fue una coincidencia, ni un problema exclusivo de tu proveedor de hosting. Fue el mayor incidente de seguridad en la historia del hosting compartido, y su nombre técnico es CVE-2026-41940.

cPanel y WebHost Manager (WHM) son el software que opera por detrás de una fracción enorme de Internet: aproximadamente 70 millones de dominios en todo el mundo se gestionan a través de esta plataforma. Cuando un investigador de seguridad descubrió una falla crítica en su sistema de autenticación, las consecuencias no tardaron en sentirse a escala global — incluyendo a proveedores de hosting en Chile, Perú y el resto de LATAM.

La cronología: 64 días que cambiaron la web

• !
  23 Febrero 2026

  Primeros ataques silenciosos

  El proveedor de hosting KnownHost detecta intentos anómalos de acceso a sus servidores cPanel. Nadie sabe todavía que existe una vulnerabilidad. Los atacantes sí lo saben.
• —
  Feb — Abr 2026

  64 días de zero-day activo

  Durante dos meses, la vulnerabilidad es explotada en silencio. Servidores comprometidos, datos extraídos, puertas traseras instaladas. Sin alerta pública. Sin parche disponible.
• —
  ~14 Abril 2026

  La vulnerabilidad llega a cPanel

  Un investigador reporta la falla a WebPros (empresa matriz de cPanel). Según fuentes de webhosting.today, la respuesta inicial de cPanel fue que "no había ningún problema".
• ✓
  28 Abril 2026

  Parche publicado — y el PoC también

  WebPros publica el parche oficial. Horas después, la firma watchTowr Labs publica el análisis técnico completo y la prueba de concepto del exploit. La carrera entre atacantes y defensores comienza.
• —
  28–29 Abril 2026

  Proveedores bloquean acceso de forma preventiva

  Namecheap bloquea los paneles cPanel de todos sus clientes para ganar tiempo y aplicar el parche. Hostgator lo clasifica como un "exploit crítico de omisión de autenticación" y actúa de inmediato. Miles de sitios quedan temporalmente inaccesibles.
• !
  30 Abril 2026

  44.000 IPs atacantes — CISA emite alerta

  Shadowserver registra 44.000 IPs únicas ejecutando el exploit contra sus honeypots. CISA añade CVE-2026-41940 a su catálogo de vulnerabilidades explotadas activamente (KEV) y exige a las agencias federales de EE.UU. que apliquen el parche antes del domingo.
• !
  2 Mayo 2026

  Ataques a gobiernos y organismos militares

  Investigadores de Ctrl-Alt-Intel identifican una campaña dirigida contra organismos gubernamentales y militares de Filipinas, Laos, Canadá, Sudáfrica y EE.UU. También se detecta el ransomware "Sorry" — un cifrador Linux que añade la extensión .sorry a todos los archivos del servidor.
• !
  4 Mayo 2026

  7.135 servidores con ransomware confirmado

  Censys escanea Internet y encuentra 8.859 servidores con directorios abiertos que muestran archivos .sorry. De ellos, 7.135 son instancias cPanel/WHM confirmadas. Una segunda variante de ataque — una botnet Mirai — también explota la vulnerabilidad para crear cuentas de administrador y minar criptomonedas.
• 8
  8 Mayo 2026 — Hoy

  Segundo TSR de emergencia — la tormenta continúa

  cPanel publica un segundo Technical Support Release (TSR) de emergencia que cubre tres CVEs adicionales (CVE-2026-29201, 29202, 29203). Según Shadowserver, 550.000 instancias cPanel siguen expuestas en Internet.

Los números del impacto

¿Por qué fue tan grave?

La vulnerabilidad no era solo "un error más". Era una omisión completa de autenticación — sin contraseña, sin doble factor, sin dejar rastros en los registros de intentos de acceso fallidos. Bastaban cuatro peticiones HTTP para obtener acceso root al servidor completo.

Y la escala lo hacía devastador: un solo servidor cPanel comprometido puede alojar entre 100 y 500 sitios web de clientes distintos. Los proveedores de servicios gestionados que usaban cPanel para administrar la infraestructura de sus propios clientes quedaron especialmente expuestos — comprometer uno de ellos significaba acceso simultáneo a toda su cartera de clientes.

¿Qué sigue?

La actividad de exploración masiva ha disminuido — las IPs que atacaban honeypots de Shadowserver cayeron de 44.000 a poco más de 3.500 entre el 30 de abril y el 3 de mayo — pero el riesgo no ha desaparecido. Los 550.000 servidores que siguen expuestos representan una superficie de ataque enorme para actores menos oportunistas y más pacientes.

Si tu sitio web está alojado en hosting compartido con cPanel, la pregunta que debes hacerle a tu proveedor esta semana es simple y directa: ¿Puedes confirmarme por escrito en qué fecha aplicaste el parche para CVE-2026-41940 y qué versión de cPanel tienes instalada?