⚠️
🔍 Diagnóstico urgente

¿Cómo saber si un sitio web está siendo atacado por la vulnerabilidad de cPanel CVE-2026-41940?

7.135 servidores cPanel confirmados comprometidos. 550.000 aún expuestos. Estas son las señales de alerta y los pasos de verificación que debes ejecutar esta semana.

🗓 8 Mayo 2026⏱ 8 min lectura🚨 Acción requerida
Activo

Censys detectó 7.135 servidores cPanel con artefactos de ransomware visibles desde Internet. La cifra real de compromisos es mayor.

El problema de los ataques de omisión de autenticación es que no dejan los rastros habituales. No hay intentos de acceso fallidos en los registros. No hay alertas de contraseña incorrecta. No hay nada visible hasta que el atacante decide actuar — o hasta que realizas una auditoría activa.

Si tu sitio web está alojado en hosting con cPanel y tu proveedor no te ha confirmado por escrito la fecha del parche, debes asumir que pudo haber estado expuesto durante la ventana de zero-day (23 de febrero – 28 de abril de 2026). Estas son las señales a buscar y los pasos de verificación.

Señales visibles de compromiso — lo que cualquiera puede detectar

  • !Tu sitio web redirige a páginas desconocidas: Los atacantes suelen instalar redirecciones hacia sitios de suplantación de identidad o malware. Si al visitar tu dirección terminas en otro sitio, es una señal seria de compromiso.
  • !Google muestra advertencias de "sitio peligroso": Google Search Console alerta cuando detecta malware o contenido engañoso. Si recibes esta alerta o ves el aviso rojo en el navegador al entrar a tu propio sitio, actúa de inmediato.
  • !Correos enviados que tú no enviaste: El acceso WHM incluye control total sobre los servidores de correo. Si recibes respuestas a mensajes que nunca escribiste, o tus clientes reportan correo no deseado desde tu dominio, el servidor de correo puede estar comprometido.
  • ?Comportamiento lento o inusual del servidor: Los mineros de criptomonedas instalados tras un compromiso consumen recursos del servidor de forma intensiva. Un servidor que de pronto está al 100% de CPU sin razón aparente puede tener software malicioso ejecutándose.
  • ?Archivos con extensión .sorry en el servidor: El ransomware "Sorry" que explota CVE-2026-41940 cifra los archivos y añade esta extensión. Si ves archivos .sorry en tu FTP o en el gestor de archivos del panel, el servidor fue cifrado por ransomware.
  • ?Cambios en el contenido que tú no realizaste: Texto modificado, imágenes reemplazadas, páginas nuevas que no creaste. Pueden indicar vandalización (modificación no autorizada del sitio) o inyección de contenido malicioso.

Verificación técnica — lo que debes pedir a tu hosting

1

Solicitar confirmación escrita del parche

Contacta al soporte de tu hosting con una pregunta específica y documentada: "¿Pueden confirmarme por escrito la fecha en que se aplicó el parche para CVE-2026-41940 en mi servidor y la versión de cPanel instalada actualmente?"

Si no pueden indicarte una versión concreta (debe ser 11.136.0.5 o superior en la rama más reciente), asume que puede estar sin parchear.
2

Revisar la página de estado de tu hosting

Busca en el historial de incidentes entre el 28 de abril y el 5 de mayo de 2026. Los proveedores que actuaron correctamente publicaron actualizaciones de seguridad en su página de estado.

Busca términos como: "cPanel security update", "CVE-2026-41940", "emergency maintenance" o "critical patch".
3

Verificar con Google Search Console

Si tienes tu sitio en Google Search Console (gratuito, recomendado para todos), revisa la sección "Problemas de seguridad". Google analiza activamente los sitios en busca de malware y contenido engañoso.

Si no tienes tu sitio en GSC, este es un buen momento para registrarlo: search.google.com/search-console
4

Analizar el sitio con Sucuri SiteCheck

El escáner gratuito de Sucuri (sitecheck.sucuri.net) analiza el sitio en busca de malware, listas negras y código malicioso inyectado. Es una comprobación externa rápida que no requiere acceso al servidor.

5

Cambiar contraseñas de cPanel, FTP y bases de datos

Independientemente del resultado de las verificaciones anteriores, si tu servidor estuvo expuesto durante la ventana de zero-day, trata todas las credenciales como potencialmente comprometidas. Cámbialas todas desde un dispositivo diferente y una red distinta.

Si encuentras indicios de compromiso — qué hacer en orden

Regla número uno: no reinicies ni borres nada todavía

El primer instinto es reiniciar el servidor o eliminar los archivos sospechosos. Es incorrecto. Reiniciar puede destruir evidencia forense volátil. Eliminar archivos sin documentarlos antes puede complicar la investigación. Primero comunícate con el soporte y luego actúa con su orientación.

  • 1Contacta al soporte de emergencia de tu hosting por teléfono o chat en vivo — el correo puede estar comprometido.
  • 2Solicita que bloqueen el acceso al servidor temporalmente mientras se realiza la investigación.
  • 3Identifica la copia de respaldo más reciente anterior al 23 de febrero de 2026 — la fecha del primer exploit confirmado.
  • 4Restaura desde esa copia limpia una vez que el servidor esté parcheado y verificado.
  • 5Si administras datos personales de clientes (correos, teléfonos, direcciones), evalúa las obligaciones de notificación de brecha de datos según la legislación de tu país.

Fuentes