¿Pero qué hacen exactamente cuando pasa algo así? ¿Llaman a alguien? ¿Hay un botón de emergencia? No tengo idea de cómo funciona esto por dentro y me gustaría entender si realmente estoy en buenas manos.
Es una pregunta muy válida. Y la respuesta es que no hay un solo botón: hay un protocolo completo que se activa en minutos e involucra sistemas automáticos, equipos humanos y decisiones difíciles tomadas bajo mucha presión. Vamos a abrirte esa caja negra.
Cómo nos enteramos de la vulnerabilidad de cPanel
La notificación llegó de WebPros (la empresa que desarrolla cPanel) el 28 de abril de 2026, junto con el aviso de que el parche ya estaba disponible. Eso puede parecer razonable, pero hay una parte incómoda: la vulnerabilidad llevaba siendo explotada desde al menos el 23 de febrero. Dos meses. Y ni nosotros ni ningún otro proveedor de hosting en el mundo lo sabíamos.
WebPros reconoció después que recibió el reporte de un investigador externo aproximadamente dos semanas antes del aviso público, y que su respuesta inicial fue que "no había ningún problema". Este fallo de comunicación es responsabilidad de WebPros, no de los proveedores de hosting. Pero nos afecta a todos, y sobre todo a ti como cliente.
Que cualquier vulnerabilidad crítica que afecte a todos los hostings del mundo sea comunicada con tiempo suficiente para preparar la respuesta, antes de publicar el aviso público que también alerta a los atacantes. Es lo mínimo que los proveedores de hosting podemos exigir, y es un estándar que muchos otros fabricantes de software ya cumplen.
Lo que ocurre en los primeros 60 minutos de una crisis así
Recibimos la alerta: se activa el protocolo de incidente
Cuando llega una alerta de seguridad crítica de un proveedor, se activa automáticamente nuestro protocolo de respuesta a incidentes. El equipo de seguridad, el equipo técnico de infraestructura y la dirección son notificados de forma simultánea. Se abre un canal de comunicación interno dedicado exclusivamente a ese incidente.
Evaluación de severidad y superficie de ataque
En los primeros 5 minutos: ¿a cuántos de nuestros servidores afecta? ¿Cuántos clientes están en esos servidores? ¿Ya hay explotación activa? ¿El exploit ya es público? Estas preguntas determinan la urgencia y el tipo de respuesta.
Activamos la mitigación inmediata mientras preparamos el parche
Antes de que el parche esté instalado en cualquier servidor, activamos la primera línea de defensa: bloqueo de los puertos de acceso a cPanel desde el exterior. Esto cierra el vector de ataque de inmediato. Tú no podías ingresar al panel, pero los atacantes tampoco.
Iniciamos el despliegue del parche en los servidores
El proceso de actualización de cPanel en un servidor requiere: descargar la actualización, verificar su integridad, aplicarla, reiniciar los servicios afectados y confirmar que todo funciona correctamente. Esto lleva tiempo por servidor, y tenemos muchos servidores.
Los primeros servidores ya están parcheados y verificados
Los servidores con mayor cantidad de clientes tienen prioridad en el proceso de actualización. Una vez confirmado que el parche está correctamente instalado y que no hay evidencia de compromiso previo, restauramos el acceso al panel para esos clientes.
Cómo la IA gestiona millones de intentos de ataque en paralelo
Mientras el equipo técnico trabajaba en los servidores, nuestros sistemas de inteligencia artificial procesaban en tiempo real el aluvión de ataques automáticos que llegaron tras la publicación del exploit. Estos sistemas no reemplazan al equipo humano: lo multiplican.
- Reconocimiento de firma de ataque en tiempo real: El exploit de CVE-2026-41940 tiene una secuencia específica de cuatro peticiones HTTP. Nuestro sistema aprende esa firma y bloquea cualquier tráfico que la replique, aunque provenga de una dirección IP que nunca antes habíamos registrado.
- Análisis de comportamiento de IPs: Una IP que realiza 100 intentos de inicio de sesión fallidos en un segundo contra distintos servidores es un bot atacando. El sistema la identifica y la bloquea en toda la red antes de que llegue a ningún servidor.
- Correlación de amenazas entre servidores: Cuando un sistema detecta un patrón de ataque en un servidor, comparte esa información con todos los demás en tiempo real. Un ataque detectado en el servidor A se bloquea en los servidores B, C y D antes de que llegue allí.
- Clasificación de alertas para el equipo humano: De los millones de eventos de seguridad que se generan en una crisis, la IA prioriza y clasifica cuáles requieren atención humana urgente y cuáles puede gestionar de forma autónoma.
- Detección de anomalías post-compromiso: Para el período anterior al parche, nuestros sistemas analizaron de forma retroactiva los registros de todos los servidores buscando la firma del exploit, comportamientos anómalos y evidencia de acceso no autorizado.
Lo que esto significa para ti
Cuando contratas hosting, en realidad estás contratando dos cosas: el espacio y los recursos para alojar tu sitio web, y la infraestructura de seguridad y respuesta que lo protege. La segunda parte es invisible en el día a día: solo se nota cuando ocurre algo como esto.
El incidente de cPanel fue un fallo de WebPros, los creadores del software. La industria del hosting, incluidos nosotros, actuó con la información disponible y tan rápido como fue técnicamente posible. Nuestros sistemas de IA y nuestro equipo técnico trabajaron sin parar durante días para que ese fallo de un tercero tuviera el menor impacto posible en tus datos y en tu negocio.
La vulnerabilidad CVE-2026-41940 está cerrada en nuestros servidores. El monitoreo adicional que activamos durante el incidente sigue activo. Además, estamos trabajando con el resto de la industria para presionar a WebPros a mejorar sus procesos de notificación en incidentes futuros, de modo que la próxima vez podamos actuar con aún mayor rapidez.
Fuentes
- cPanel zero-day — cronología del disclosure y respuesta de la industria— Help Net Security
- cPanel's 30-Day Security Storm — cronología detallada— Panelica
- Threat Brief CVE-2026-41940 — respuesta en tiempo real— Cato Networks