En abril de 2026, se descubrió una vulnerabilidad crítica en cPanel/WHM — el panel de control que usan millones de servidores de hosting en el mundo. La falla permitía a un atacante acceder al panel de administración sin necesidad de contraseña.
Si tu web está en un hosting compartido (como los que ofrecen muchos proveedores en Perú), esto te afecta directamente.
¿Qué es cPanel y por qué importa?
cPanel es el panel de control más usado en hosting web. Es donde:
- Gestionas tus correos electrónicos
- Subes archivos a tu web
- Administras bases de datos
- Configuras dominios y subdominios
Si alguien accede a tu cPanel sin autorización, tiene control total sobre tu web, tus correos y tus datos.
¿Qué pasó exactamente?
La vulnerabilidad fue catalogada como zero-day — esto significa que los atacantes la descubrieron y la estaban explotando antes de que existiera una solución.
El ataque funcionaba así:
- El atacante enviaba una petición especial al servidor
- El servidor, por un error en su código, le daba acceso sin pedir contraseña
- Una vez dentro, el atacante podía modificar cualquier sitio web alojado en ese servidor
No importaba qué tan buena era tu contraseña. No importaba si tenías autenticación de dos factores. La falla estaba en el propio panel de control.
¿A quién afecta?
A cualquier sitio web alojado en un servidor que use cPanel/WHM, incluyendo:
- Hosting compartido (el más común y barato)
- Hosting de revendedor (reseller)
- Algunos VPS que usan cPanel como panel de gestión
Los más vulnerables son los hostings compartidos, porque un solo servidor puede alojar cientos de sitios web. Si el atacante compromete el servidor, todos los sitios se ven afectados.
¿Qué pueden hacer los atacantes una vez dentro?
- Robar correos electrónicos — acceder a todas las cuentas de correo del dominio
- Modificar tu web — insertar malware, redirecciones o contenido falso
- Robar bases de datos — nombres, correos, contraseñas, datos de pago de tus clientes
- Enviar spam — usar tu servidor para enviar miles de correos fraudulentos
- Borrar todo — eliminar archivos, bases de datos y backups
¿Cómo protegerte?
Si usas hosting compartido con cPanel:
- Contacta a tu proveedor de hosting — pregunta si ya aplicaron el parche de seguridad
- Cambia todas tus contraseñas — cPanel, correo, FTP, base de datos
- Activa autenticación de dos factores — en cPanel y en tu correo
- Revisa tus archivos — busca archivos que no reconozcas en tu hosting
- Haz backup ahora — descarga una copia completa de tu sitio y base de datos
La solución a largo plazo: no depender de cPanel
Las plataformas modernas de hosting no necesitan cPanel:
| Plataforma | Panel | Seguridad |
|---|---|---|
| Hosting compartido (cPanel) | cPanel/WHM | Vulnerable a fallas del panel |
| VPS con Nginx | Sin panel (terminal SSH) | Control total, sin paneles vulnerables |
| Cloudflare Workers/Pages | Sin panel de hosting | Aislado, sin servidor tradicional |
| Vercel / Railway | Dashboard propio | Infraestructura gestionada |
En FDev, por ejemplo, usamos una combinación de VPS con Nginx + Cloudflare — sin cPanel, sin paneles de terceros, con acceso solo por SSH con llaves criptográficas.
La lección más importante
Esta falla nos recuerda algo fundamental: tu seguridad es tan fuerte como el eslabón más débil de tu cadena.
Puedes tener la mejor contraseña del mundo, pero si el panel de control de tu hosting tiene una falla, nada de eso importa.
La seguridad no es un producto que compras — es una decisión arquitectónica que tomas desde el inicio.
¿Quieres evaluar la seguridad de tu infraestructura actual? Diagnóstico gratuito en 30 segundos: [cybrrollo Web & Ciberseguridad*
