Alerta: Hackers explotan falla en plugin WordPress usado por 100.000 sitios

Si administrás un sitio WordPress, tenemos malas noticias. Hackers están aprovechando una falla de seguridad en Gravity SMTP, un plugin instalado en aproximadamente 100.000 sitios web en todo el mundo, para robar información sensible como claves de acceso y tokens de autenticación. Y lo peor: algunos sitios aún no se han actualizado.

¿Qué pasó?

La vulnerabilidad fue identificada como CVE-2026-4020 y tiene una severidad media (CVSS 5.3), pero sus implicaciones son bastante serias. Se trata de un fallo de divulgación de información que permite a atacantes no autenticados —es decir, sin necesidad de tener acceso a la plataforma— extraer datos críticos de la configuración del plugin, incluyendo claves API, secretos y tokens OAuth.

Gravity SMTP es un plugin popular que simplifica el envío de correos en WordPress integrándose con servicios como Gmail, SendGrid y otros proveedores de email. Justamente por eso maneja información tan sensible: credenciales que, si caen en manos equivocadas, pueden comprometer toda una infraestructura digital.

Aunque el desarrollador ya lanzó un parche para cerrar la brecha, los reportes indican que atacantes ya están explotando activamente esta falla en sitios que aún no se han actualizado. Esto significa que hay una ventana de vulnerabilidad real y actual, no solo teórica.

¿Por qué importa en Argentina y América Latina?

En nuestra región, miles de pequeñas y medianas empresas, agencias de marketing digital, y negocios de comercio electrónico dependen de WordPress para sus presencias online. Muchas de ellas utilizan plugins como Gravity SMTP sin estar completamente conscientes de los riesgos de seguridad.

Una filtración de claves API puede significar acceso no autorizado a cuentas de email, suplantación de identidad, envío de correos phishing desde tu dominio, e incluso acceso a otros servicios conectados. Para pymes argentinas que no cuentan con equipos de ciberseguridad dedicados, esto puede ser catastrófico tanto reputacionalmente como financieramente.

¿Qué se recomienda?

• Actualización urgente: Si usás Gravity SMTP, actualiza el plugin a la última versión disponible inmediatamente. No dejes pasar este parche.
• Auditoría de credenciales: Revisa tus claves API y tokens OAuth. Si sospechas que fueron comprometidos, regeneralos en los servicios que uses (Gmail, SendGrid, etc.).
• Monitoreo de actividad: Chequea los logs de tu sitio WordPress para detectar intentos de acceso no autorizados o extracción anómala de datos.
• Contraseñas fuertes: Asegúrate de que tu acceso a WordPress sea lo más seguro posible con contraseñas complejas y autenticación de dos factores.
• Alternativas evaluadas: Si aún no confías en el plugin post-parche, considerá migrar a otras soluciones de envío de email en WordPress que tengan mejor track record de seguridad.

Fuente: The Hacker News