15 de mayo de 2026 — Equipo de Operaciones Webzi
Las últimas tres semanas han sido, sin exageración, el período de mayor actividad en vulnerabilidades críticas de infraestructura web que hemos registrado en años recientes. En este artículo queremos ser completamente transparentes sobre lo que ocurrió, cómo respondimos y qué puedes hacer tú para reforzar la seguridad de tus servicios.
El panorama: cuatro kernel exploits y nueve vulnerabilidades de cPanel en menos de tres semanas
Entre el 28 de abril y el 15 de mayo de 2026, el ecosistema de hosting recibió una serie inusualmente densa de divulgaciones críticas. No fue un incidente aislado: fueron múltiples frentes simultáneos que requirieron respuesta inmediata en cada servidor.
Vulnerabilidades del kernel de Linux
| Fecha | CVE / Nombre | Severidad | Descripción corta |
|---|---|---|---|
| 29 abril | CVE-2026-31431 “Copy Fail” | CVSS 7.8 | Escalamiento de privilegios a root. Exploit funcional de 732 bytes. Afectó todos los kernels desde 2017. |
| 7 mayo | CVE-2026-43284 “Dirty Frag” | CVSS 7.8 | Escalamiento de privilegios vía subsistema IPsec/ESP del kernel. |
| 13 mayo | CVE-2026-46300 “Fragnesia” | CVSS 7.8 | Segunda variante en el mismo subsistema IPsec/ESP. Encadenable con Dirty Frag. |
| 15 mayo | CVE-2026-46333 “ssh-keysign-pwn” | PoC público | Race condition en el kernel: usuarios sin privilegios pueden leer las llaves privadas SSH y el archivo de contraseñas del sistema. |
Vulnerabilidades de cPanel / WHM
| Fecha parche | CVEs | Severidad máxima | Impacto |
|---|---|---|---|
| 28 abril | CVE-2026-41940 | CVSS 9.8 — Crítico | Bypass de autenticación sin credenciales. Explotado como zero-day meses antes del parche. +44,000 servidores comprometidos globalmente. |
| 8 mayo | CVE-2026-29201, 29202, 29203 | CVSS 8.8 — Alto | Inyección de código Perl, lectura arbitraria de archivos, escalamiento de privilegios vía symlinks. |
| 13 mayo | CVE-2026-29205, 29206, 32991, 32992, 32993 | Alto | Quinta ronda de parches de emergencia en cPanel en menos de tres semanas. |
Para dimensionar la magnitud: normalmente vemos este volumen de CVEs críticos a lo largo de varios meses. Verlos concentrados en 17 días es extraordinario.
Lo que hicimos en cada servidor
Ante cada vulnerabilidad, nuestro equipo de operaciones actuó en el mismo día de la divulgación, sin esperar ventanas de mantenimiento programadas. Las acciones tomadas en todos los servidores de infraestructura compartida y reseller incluyen:
- Mitigaciones de kernel sin reinicio: Para los cuatro CVEs de kernel aplicamos controles de sysctl (
kernel.user_ptrace=0en CloudLinux ykernel.yama.ptrace_scope=3en servidores estándar) que bloquean el vector de ataque de forma inmediata y persistente. - KernelCare activo: En los servidores que cuentan con KernelCare, los livepatches se aplican automáticamente cuando CloudLinux los publica, sin interrupciones de servicio.
- Parches de cPanel al día: Todos los parches de cPanel/WHM fueron aplicados dentro de las primeras horas de disponibilidad en cada ciclo de release.
- Imunify360 y reglas de WAF actualizadas: Las reglas de ModSecurity y Proactive Defense se mantienen actualizadas para detectar patrones de explotación conocidos de estos CVEs.
- Módulos de kernel bloqueados: Para Dirty Frag y Fragnesia se aplicaron blacklists de módulos (
esp4,esp6,rxrpc) como medida de contención adicional.
Nota para clientes con VPS o servidor dedicado autoadministrado: Si gestionas tu propio servidor, es importante que verifiques que tienes los parches de kernel y cPanel aplicados. Si necesitas ayuda, abre un ticket de soporte y te asistimos.
Recomendaciones de seguridad para tus sitios y cuentas
La seguridad del servidor es solo una capa. Aquí hay acciones concretas que puedes tomar desde hoy para reducir tu exposición:
1. Activa la verificación en dos pasos (2FA) en cPanel
El CVE-2026-41940 demostró que incluso el 2FA puede ser bypasseado cuando el servidor está sin parche. En servidores actualizados, el 2FA sigue siendo una barrera efectiva y esencial. Puedes activarlo desde tu cPanel en Seguridad → Autenticación de dos factores.
2. Mantén tus CMS, plugins y temas actualizados
WordPress, Joomla y Druala son los vectores de ataque más frecuentes en hosting compartido. Un plugin desactualizado puede comprometer tu cuenta completa con independencia de lo bien protegido que esté el servidor. Revisa las actualizaciones pendientes al menos una vez por semana.
3. Usa contraseñas únicas y fuertes para cada servicio
Una contraseña comprometida en cualquier otro servicio puede reutilizarse para acceder a tu cPanel. Usa un gestor de contraseñas (Bitwarden, 1Password o similar) y asegúrate de que ninguna contraseña se repita entre servicios.
4. Verifica que tus copias de seguridad están activas y funcionando
Los backups son tu última línea de defensa ante ransomware o compromisos graves. Confirma desde tu cPanel (Archivos → JetBackup) que los backups automáticos están activos y que puedes restaurar desde ellos. Un backup que nunca se ha probado no es un backup confiable.
5. Elimina accesos que ya no uses
Revisa y elimina cuentas FTP, subcuentas de cPanel y cuentas de correo que ya no estén en uso. Cada credencial activa representa una superficie de ataque. Puedes administrarlas desde Archivos → Cuentas FTP y Correo → Cuentas de correo.
6. Revisa los archivos de tus sitios periódicamente
Imunify360 escanea automáticamente en busca de malware, pero una revisión manual ocasional de los archivos críticos (wp-config.php, .htaccess, index.php) puede detectar modificaciones no autorizadas. Si encuentras algo sospechoso, abre un ticket de soporte de inmediato.
7. Para VPS y servidores dedicados: mantén el kernel actualizado
En esta semana, cada hora de exposición sin parche fue una ventana de riesgo real. Si administras tu propio servidor, ejecuta dnf update kernel regularmente y considera instalar KernelCare para aplicar parches de kernel sin necesidad de reinicios. Contacta a nuestro equipo si necesitas orientación.
Conclusión
Mayo de 2026 está siendo un recordatorio contundente de que la seguridad en infraestructura web no es una configuración única sino un proceso continuo. La velocidad a la que se están divulgando vulnerabilidades críticas este mes —con exploits públicos disponibles en horas— exige respuesta inmediata de los proveedores de hosting.
Nuestro equipo seguirá monitoreando la situación y aplicando parches y mitigaciones en cuanto estén disponibles. Si tienes preguntas sobre el estado de seguridad de tu cuenta o necesitas ayuda con alguna de las recomendaciones anteriores, estamos disponibles a través de nuestro sistema de tickets.
El equipo de Operaciones — Webzi / ArteHosting
Artículos relacionados
¡Protege tu sitio web con certificados SSL! Todo lo que necesitas saber
Descubre qué es un certificado SSL, cómo te beneficia y cuál es el tipo adecuado para tu sitio web. Compara RapidSSL, DV, WildCard, OV y EV
Un Vistazo al Estado de Servicios en Webzi
Descubre el estado en tiempo real de los servicios clave en Webzi; desde sitios web hasta facturación electrónica, mantente informado sobre la estabilidad y disponibilidad para una experiencia confiable
🚀 Hosting NVMe de Webzi: Hosting más rápido, más potente y más confiable
Descubre cómo Webzi revoluciona el hosting en México con tecnología NVMe, superando ampliamente a los discos SSD tradicionales. Mayor velocidad, menor latencia
Lanzamos HTTP/2 por default para todos los sitios en Webzi⚡️
Mejoramos la velocidad y rendimiento en Webzi con la implementación de HTTP/2. Descubre cómo esta actualización optimiza la carga de tu sitio web, reduce la latencia y mejora el SEO. ¡Más rápido, más seguro y sin cambios necesarios de tu parte!
SiteJet: Crea sitios web con Inteligencia Artificial sin costo adicional 🚀 ¡Disponible en cPanel!
Descubre SiteJet en tu cPanel Webzi: crea sitios web profesionales con Inteligencia Artificial sin costo adicional. Editor visual, plantillas modernas y SEO int