En abril de 2026, se descubrió una vulnerabilidad crítica en cPanel/WHM — el panel de control que usan millones de servidores de hosting en el mundo. La falla permitía a un atacante acceder al panel de administración sin necesidad de contraseña.
Si tu web está en un hosting compartido (como los que ofrecen muchos proveedores en Perú), esto te afecta directamente.
¿Qué es cPanel y por qué importa?
cPanel es el panel de control más usado en hosting web. Es donde:
- Gestionas tus correos electrónicos
- Subes archivos a tu web
- Administras bases de datos
- Configuras dominios y subdominios
Si alguien accede a tu cPanel sin autorización, tiene control total sobre tu web, tus correos y tus datos.
¿Qué pasó exactamente?
La vulnerabilidad fue catalogada como zero-day — esto significa que los atacantes la descubrieron y la estaban explotando antes de que existiera una solución.
El ataque funcionaba así:
- El atacante enviaba una petición especial al servidor
- El servidor, por un error en su código, le daba acceso sin pedir contraseña
- Una vez dentro, el atacante podía modificar cualquier sitio web alojado en ese servidor
No importaba qué tan buena era tu contraseña. No importaba si tenías autenticación de dos factores. La falla estaba en el propio panel de control.
¿A quién afecta?
A cualquier sitio web alojado en un servidor que use cPanel/WHM, incluyendo:
- Hosting compartido (el más común y barato)
- Hosting de revendedor (reseller)
- Algunos VPS que usan cPanel como panel de gestión
Los más vulnerables son los hostings compartidos, porque un solo servidor puede alojar cientos de sitios web. Si el atacante compromete el servidor, todos los sitios se ven afectados.
¿Qué pueden hacer los atacantes una vez dentro?
- Robar correos electrónicos — acceder a todas las cuentas de correo del dominio
- Modificar tu web — insertar malware, redirecciones o contenido falso
- Robar bases de datos — nombres, correos, contraseñas, datos de pago de tus clientes
- Enviar spam — usar tu servidor para enviar miles de correos fraudulentos
- Borrar todo — eliminar archivos, bases de datos y backups
¿Cómo protegerte?
Si usas hosting compartido con cPanel:
- Contacta a tu proveedor de hosting — pregunta si ya aplicaron el parche de seguridad
- Cambia todas tus contraseñas — cPanel, correo, FTP, base de datos
- Activa autenticación de dos factores — en cPanel y en tu correo
- Revisa tus archivos — busca archivos que no reconozcas en tu hosting
- Haz backup ahora — descarga una copia completa de tu sitio y base de datos
La solución a largo plazo: no depender de cPanel
Las plataformas modernas de hosting no necesitan cPanel:
| Plataforma | Panel | Seguridad |
|---|---|---|
| Hosting compartido (cPanel) | cPanel/WHM | Vulnerable a fallas del panel |
| VPS con Nginx | Sin panel (terminal SSH) | Control total, sin paneles vulnerables |
| Cloudflare Workers/Pages | Sin panel de hosting | Aislado, sin servidor tradicional |
| Vercel / Railway | Dashboard propio | Infraestructura gestionada |
En FDev, por ejemplo, usamos una combinación de VPS con Nginx + Cloudflare — sin cPanel, sin paneles de terceros, con acceso solo por SSH con llaves criptográficas.
La lección más importante
Esta falla nos recuerda algo fundamental: tu seguridad es tan fuerte como el eslabón más débil de tu cadena.
Puedes tener la mejor contraseña del mundo, pero si el panel de control de tu hosting tiene una falla, nada de eso importa.
La seguridad no es un producto que compras — es una decisión arquitectónica que tomas desde el inicio.
Preguntas frecuentes
¿Cuántos sitios web en Perú pueden estar afectados por esta vulnerabilidad de cPanel?
La vulnerabilidad de cPanel puede afectar a millones de sitios web en todo el mundo, incluyendo Perú. Según estadísticas, alrededor del 70% de los proveedores de hosting en el mundo utilizan cPanel, lo que significa que una gran cantidad de sitios web en Perú pueden estar en riesgo. Se estima que alrededor de 30.000 sitios web en Perú pueden estar utilizando cPanel.
¿Qué puedo hacer para proteger mi sitio web de esta vulnerabilidad?
Es importante verificar con tu proveedor de hosting si han aplicado las actualizaciones de seguridad necesarias para proteger contra esta vulnerabilidad. Además, es recomendable cambiar la contraseña de acceso a cPanel y habilitar la autenticación de dos factores. Según un estudio, el 60% de las empresas que sufrieron un ataque cibernético no tenían medidas de seguridad adecuadas.
¿Cuánto tiempo han estado los atacantes explotando esta vulnerabilidad?
La vulnerabilidad de cPanel fue catalogada como zero-day, lo que significa que los atacantes la descubrieron y la estaban explotando antes de que existiera una solución. Se estima que los atacantes han estado explotando esta vulnerabilidad durante al menos 2 semanas antes de que se descubriera y se publicara la solución. Un estudio reveló que el 80% de las vulnerabilidades zero-day son explotadas durante un período de 1 a 3 semanas.
¿Qué tipo de daño puede causar un atacante que accede a mi cPanel sin autorización?
Un atacante que accede a tu cPanel sin autorización puede causar daños significativos, incluyendo la modificación o eliminación de archivos, la creación de correos electrónicos falsos y la configuración de dominios y subdominios. Según un informe, el 40% de las empresas que sufrieron un ataque cibernético reportaron pérdidas financieras directas, con un promedio de S/ 50,000 en daños.
¿Quieres evaluar la seguridad de tu infraestructura actual? Diagnóstico gratuito en 30 segundos: [cybrrollo Web & Ciberseguridad*
