Los investigadores de seguridad están haciendo sonar las alarmas —y no las divertidas, de fiesta— por una vulnerabilidad recién descubierta en cPanel y WebHost Manager (WHM), el software de gestión de servidores web que alimenta aproximadamente un montón de sitios web (vale, decenas de millones). El error, registrado oficialmente como CVE-2026-41940, permite a los hackers pasar directamente por la pantalla de inicio de sesión y tomar el control total de los servidores afectados, como una versión digital de dejar la puerta de entrada abierta con un cartel de neón de "cosas gratis".

cPanel y WHM son los héroes anónimos del alojamiento web, manejando desde configuraciones de sitios hasta gestión de correo electrónico y mantenimiento de bases de datos —básicamente, la fontanería digital que evita que los dominios de internet se inunden. Dado que estos conjuntos tienen acceso profundo y sin restricciones a los servidores que gestionan, un hackeo exitoso significa que los atacantes pueden hurgar en todos los datos como un vecino entrometido en una venta de garaje.

Muchas empresas de alojamiento web comerciales ya han parcheado los sistemas de sus clientes, pero el fabricante de cPanel insta a todos a verificar dos veces, porque el error afecta a todas las versiones compatibles. Sí, todas. La agencia nacional de ciberseguridad de Canadá intervino con un aviso de que la explotación es "altamente probable", que en lenguaje gubernamental significa "deja de desplazarte y parchea esto ahora".

El gigante del alojamiento web Namecheap, que utiliza cPanel para sus clientes, bloqueó el acceso a los paneles de cPanel al conocer la falla —como un portero cerrando la sala VIP antes de que la fiesta se descontrole. Hostgator también parcheó sus sistemas, calificando el error como un "exploit crítico de omisión de autenticación", que suena aterrador y lo es.

Una empresa de alojamiento web, KnownHost, encontró evidencia de que los hackers han estado abusando de la vulnerabilidad desde el 23 de febrero —eso son meses de invitados no deseados acechando en las sombras digitales. El CEO Daniel Pearson recurrió a Reddit para compartir que unos 30 servidores de KnownHost mostraron signos de intentos de acceso no autorizado, aunque no se confirmaron compromisos activos. Comparó los esfuerzos con intentos, lo cual es tranquilizador en la misma medida que una ventana entreabierta.

cPanel también lanzó un parche de seguridad para WP Squared, una herramienta similar para gestionar sitios WordPress, porque aparentemente el tema de esta semana es "parchear todo". Si usas cPanel, quizás consulta con tu proveedor de alojamiento —o simplemente asume que lo tienen bajo control y espera lo mejor.