← Volver al blog
Resumen de seguridad5 min read2026-05-04

Resumen de seguridad, 4 de mayo de 2026: ransomware en cPanel, brecha en Instructure, estafas con Telegram Mini Apps y caos de certificados en Microsoft Defender

El patrón feo de esta mañana es confianza bajo presión: paneles de hosting, plataformas educativas, apps de chat y protección endpoint se volvieron palancas en cuanto lo familiar se confundió con lo seguro.


Clave: Parchee cPanel ya, trate los datos ligados a Instructure como potencialmente expuestos, desconfíe de Mini Apps de Telegram que piden depósitos o APKs, y verifique la salud de certificados Defender si su flota Windows recibió alertas el 3 de mayo.


1. cPanel pasó de bug crítico a ransomware Linux real en muy poco tiempo

La CVE-2026-41940 en cPanel y WHM ya se explota de forma masiva. BleepingComputer informa que al menos 44.000 IPs con cPanel fueron comprometidas en ataques en curso, que luego derivaron rápidamente en despliegues del ransomware Linux "Sorry", escrito en Go, que añade .sorry a los archivos cifrados.


2. Instructure ya es una brecha real del sector educativo, no solo un aviso de incidente

Instructure confirmó que se robaron datos de usuarios en el ataque cibernético que reveló el viernes. La empresa dice que la información expuesta incluye nombres, correos, números de estudiante y mensajes entre usuarios de instituciones afectadas. Hasta ahora no encontró evidencia de contraseñas, fechas de nacimiento, identificadores gubernamentales o datos financieros, pero el blast radius puede seguir siendo enorme si ShinyHunters tiene siquiera parte de razón.


3. Telegram Mini Apps se está usando como UX de estafa y canal de entrega de malware Android

Investigadores de CTM360 afirman que la operación FEMITBOT usa bots de Telegram más Mini Apps para suplantar marcas, mostrar balances falsos, empujar depósitos y, en algunos casos, distribuir APKs Android disfrazados de apps legítimas. El truco funciona porque el flujo de phishing nunca sale de Telegram y por eso parece normal.


4. Los falsos positivos de Defender convirtieron raíces DigiCert confiables en riesgo de caída

Una actualización de firmas de Defender marcó certificados raíz legítimos de DigiCert como Trojan:Win32/Cerdigent.A!dha y en algunos sistemas los eliminó del trust store de Windows. Microsoft afirma que el problema quedó corregido desde Security Intelligence 1.449.430.0, pero este tipo de error defensivo rompe cadenas de confianza en silencio mientras los equipos persiguen fantasmas.


Qué deberían hacer hoy los equipos de seguridad

  1. Parchear primero cPanel y WHM si todavía queda algún panel de hosting expuesto sin corregir.
  2. Evaluar si su institución, clientes o proveedores dependen de Instructure o Canvas y preparar comunicaciones ya.
  3. Lanzar una alerta a usuarios sobre estafas de inversión en Telegram y bloquear rutas de APKs sideloaded donde sea posible.
  4. Auditar endpoints Windows por falsos positivos de certificados en Defender antes de que cadenas de confianza rotas se conviertan en caídas mayores.

Fuentes


En resumen: El fallo común de hoy es la confianza mal colocada en infraestructura familiar. Los atacantes la explotaron en cPanel y Telegram, y los defensores tropezaron con ella en el manejo de certificados. Los equipos que verifiquen sus supuestos más rápido sufrirán menos daño.

Encuentre rutas de confianza expuestas antes que los atacantes o las herramientas rotas

KENSAI ayuda a mapear paneles expuestos, dependencias SaaS, superficies de phishing y puntos ciegos de cadenas de confianza antes de que se conviertan en incidentes.

Iniciar escaneo gratuito →

Manténganse afilados.

🗡️ Equipo de Seguridad KENSAI