En las últimas semanas, la industria del hosting se ha visto sacudida por el anuncio de una gran cantidad de vulnerabilidades muy peligrosas, tanto a nivel de sistemas operativos como de paneles de control. ¿Qué está sucediendo exactamente? ¿Por qué de repente se han comenzado a descubrir tantas vulnerabilidades críticas? ¿Y qué depara el futuro? Todo esto y más lo veremos a continuación.
Contenido
El panorama actual
Desde aproximadamente fines de abril de 2026 y durante buena parte del mes de mayo, se dieron a conocer un montón de vulnerabilidades extremadamente peligrosas que pusieron en jaque al mundo del hosting. Veamos a continuación cuáles fueron, con un enfoque en las principales.
Copy Fail (CVE-2026-31431)
Una de las primeras grandes vulnerabilidades apareció el 29 de abril de 2026 con el anuncio de Copy Fail (CVE-2026-31431), una vulnerabilidad del kernel Linux que permitía realizar una escalada de privilegios, estando presente en los kernels lanzados desde 2017 en adelante. Este bug permitía que cualquier usuario sin privilegios de root (administrador) pudiera obtener dichos permisos al ejecutar un simple script. Esto, por supuesto, es extremadamente peligroso, dado que un usuario cualquiera podría tomar control completo de un servidor en pocos segundos.
Dirty Frag (CVE-2026-43284 y CVE-2026-43500)
Pocos días después, el 08 de mayo, se dio a conocer Dirty Frag. También se trata de una vulnerabilidad de escalada de privilegios similar a Copy Fail, aunque la técnica empleada era distinta. Por supuesto, era igual de peligrosa, ya que un usuario cualquiera podía obtener privilegios de root en cuestión de segundos y por ende tomar el control de un servidor entero.
Fragnesia (CVE-2026-46300)
Fragnesia apareció el 13 de mayo y nuevamente era un exploit de escalada de privilegios similar a los dos anteriores, que si era empleado correctamente podía darle a un usuario común el control completo de un sistema Linux.
ssh-keysign-pwn (CVE-2026-46333)
ssh-keysign-pwn se dio a conocer a mediados de mayo y es una falla del kernel que permite a un usuario local sin privilegios leer archivos sensibles del usuario root, como por ejemplo claves SSH privadas o el archivo /etc/shadow. Si el usuario lee claves SSH privadas, puede suplantar al servidor o moverse a otros sistemas, y si lee /etc/shadow, puede intentar romper hashes de contraseñas y escalar privilegios.
CIFSwitch (CVE-2026-46243)
El 28 de mayo apareció en los radares otra vulnerabilidad del mismo tipo llamada CIFSwitch. La parte buena es que las condiciones para que pudiera ser explotado eran más específicas, ya que requería la presencia de determinadas configuraciones y paquetes que no eran completamente estándar. Aun así, no deja de ser una vulnerabilidad muy peligrosa.
PinTheft (CVE-2026-43494)
Anunciada el 20 de mayo, la vulnerabilidad conocida como PinTheft también era de escala de privilegios, aunque en este caso su ejecución depende de configuraciones muy específicas que nuevamente escapaban a los estándares.
Como hemos visto, a nivel de sistemas operativos hubo 6 grandes vulnerabilidades en cuestión de solamente 4 semanas. Pero hay otras que han afectado otros tipos de productos y servicios; veamos eso a continuación.
NGINX Rift (CVE-2026-42945)
NGINX Rift fue anunciada el 13 de mayo y es una vulnerabilidad crítica en el módulo rewrite de Nginx. Un atacante remoto, sin iniciar sesión, puede enviar una petición HTTP especial para provocar caídas del servidor y, en ciertos casos, incluso ejecutar código en el sistema. Nginx es un servidor web, así que suele estar expuesto directamente a Internet. Si se explota la vulnerabilidad, puede tumbar sitios, afectar servicios y, en el peor caso, darle al atacante ejecución remota de código.
Vulnerabilidades relacionadas a cPanel
Los administradores de sistemas que usan cPanel tuvieron muchísimo trabajo durante este período, dado que en cuestión de pocos días surgieron varias vulnerabilidades que permitían que un atacante tomara control de un servidor, incluso de forma remota.
La principal fue identificada con el código CVE-2026-41940, afectando todas las versiones de cPanel posteriores a 11.40, es decir, desde 2013 en adelante. Dicho de otra manera, durante 13 años todos los servidores cPanel a nivel mundial estuvieron expuestos a ser hackeados de forma remota en menos de un minuto.
También en relación con cPanel se descubrió una vulnerabilidad en el plugin de LiteSpeed para usuarios de cPanel, la cual permitía una escalada de privilegios, y se la identifica con el código CVE-2026-48172.
Una semana más tarde, se dio a conocer otra vulnerabilidad en el mismo plugin de LiteSpeed para cPanel, igual de peligrosa que la anterior. Esta, según el blog oficial de LiteSpeed, no ha recibido un código de CVE aún.
¿Qué implican todas estas vulnerabilidades?
Esto vamos a dividirlo desde el punto de vista del cliente y del proveedor del servicio.
Para el proveedor del servicio de hosting, este tipo de vulnerabilidades críticas implican que se deben tomar medidas rápidas para desactivar los exploits, o bien aplicar parches de emergencia donde sea posible.
Sucede que en la mayoría de los casos los parches pueden demorar horas o incluso días en estar listos, así que en la medida de lo posible se aplican ajustes primero para desactivar la vulnerabilidad de forma temporal, hasta que una actualización que trae un parche esté disponible.
Todo esto quiere decir que debe haber un trabajo continuo, 24/7, donde el proveedor esté alerta ante posibles nuevas amenazas. Como decíamos, cualquiera de estas vulnerabilidades puede ser explotada en menos de un minuto. Por eso, incluso si pasa solo media hora entre que la vulnerabilidad se anuncia y el proveedor la detecta, ese intervalo ya es suficiente para que sea aprovechada por un atacante.
¿Qué implicación tiene esto para un cliente? Pues eso dependerá principalmente de si el cliente administra su propio servidor o no. Si el cliente no tiene contratado un servicio de administración de servidores, entonces debe aplicar sus propios arreglos de seguridad y parches, y como decíamos estar atento 24/7 ante cualquier posible vulnerabilidad que pueda aparecer.
Para la mayoría de los clientes, mantener ese ritmo de trabajo de seguridad es insostenible, ya que suelen destinar su tiempo a otras cuestiones más allá de la administración del servidor.
Por supuesto, si el cliente sí dispone de un servicio de administración técnica en su servidor, no tiene nada de qué preocuparse.
¿Por qué ha sucedido esto?
La raíz de toda esta catarata de vulnerabilidades se puede resumir en dos letras: IA. Pero ojo, no debemos “echarle la culpa” a la IA, después de todo, uno de los muchos propósitos detrás de las IA es justamente descubrir este tipo de cosas.
No es que las IA se hayan “inventado” estas vulnerabilidades: siempre estuvieron ahí, solo que ahora han sido descubiertas. Más que estar enfadados con las IA, debemos estar agradecidos.
¿Pero por qué ahora exactamente? Las IA comenzaron a masificarse en 2023. A fines de 2022 se lanzó ChatGPT al público, y al año siguiente comenzaron a aparecer otros modelos, volviéndose con el paso del tiempo cada vez más complejos y capaces.
A nivel de ciberseguridad, hubo un gran salto a comienzos de abril de 2026 con Claude Mythos Preview, una IA que, por cuestiones de seguridad, no está disponible al público.
Muchas de las vulnerabilidades importantes reveladas entre fines de abril y mayo estuvieron relacionadas con el uso de Claude Mythos Preview y Project Glasswing. Mythos sin dudas marcó un salto fuerte en la capacidad de encontrar y explotar fallas.
El uso de la IA ha permitido reducir muchísimo el tiempo que les lleva a los investigadores revisar código e intentar explotarlo para encontrar vulnerabilidades. Lo que antes demoraba semanas, meses o incluso años, ahora se logra en cuestión de pocas horas.
Lo que el futuro depara
Las IA obviamente han llegado para quedarse, no se irán a ningún lado y seguirán evolucionando y mejorando con el paso del tiempo. Esto que se ha experimentado en las últimas semanas en relación con la seguridad de servidores es solo una primera ráfaga, seguramente más adelante surgirán más casos similares donde se descubran vulnerabilidades críticas.
Si tienes un servidor dedicado o un VPS o un sistema que administres por tu cuenta, te recomendamos encarecidamente hacer un mayor énfasis en la seguridad o ponerte en contacto con nosotros al respecto.
En Infranetworking brindamos un servicio de análisis de servidores desde $20 dólares. Por esa cantidad podemos analizar tu servidor y así revisar sus vulnerabilidades y los puntos que se deben mejorar en la seguridad de tu sistema.
Puedes revisar nuestro servicio de Administración de Servidores Linux para ver más detalles sobre este servicio que brindamos.
Si tienes dudas o consultas, o si deseas que analicemos tu servidor, puedes abrir una sesión de chat desde nuestra web o escribirnos mediante el formulario de contacto de nuestro sitio.