Lo que debería ser una herramienta para ampliar funcionalidades se ha convertido, una vez más, en una puerta de entrada para ataques sofisticados. Un nuevo incidente revela cómo actores maliciosos han logrado comprometer decenas de plugins populares de WordPress para distribuir malware de forma masiva.
La investigación, destapada por el desarrollador de WordPress y fundador del servicio de hosting Anchor, Austin Ginder, apunta a un ataque de cadena de suministro con potencial para afectar a cientos de miles de sitios web. El caso no solo destaca por su alcance, sino también por la sofisticación técnica empleada para mantener la persistencia y evitar la detección.
Un plugin legítimo convertido en vector de ataque
El incidente salió a la luz cuando uno de los clientes de Anchor recibió una alerta del equipo oficial de WordPress.org. El aviso señalaba que el plugin Countdown Timer Ultimate (CTU) contenía código potencialmente malicioso, incluyendo una puerta trasera que permitía a terceros acceder de forma no autorizada a sitios web.
Este plugin formaba parte de un conjunto más amplio desarrollado por Essential Plugin (EP), una marca con sede en India que contaba con aproximadamente 30 plugins en el repositorio oficial. El punto crítico se produjo tras la adquisición de esta cartera por parte de un actor desconocido vinculado, según las investigaciones, a actividades relacionadas con criptomonedas y el juego online.
Tras la compra, el nuevo propietario introdujo una puerta trasera en todos los plugins en su primer commit en el sistema de control de versiones (SVN). Este detalle es clave: no se trató de una vulnerabilidad accidental, sino de una manipulación deliberada del código fuente con fines maliciosos.
Activación diferida y carga maliciosa
Aunque la backdoor fue introducida hace aproximadamente ocho meses, no fue hasta el 6 de abril de 2026 cuando se detectó la primera inyección activa de malware. Este retraso sugiere una estrategia de “latencia maliciosa”, diseñada para evitar sospechas iniciales y maximizar la base de instalaciones comprometidas antes de activar el ataque.
El código malicioso se ocultaba dentro de un bloque PHP incrustado en wp-config.php, uno de los archivos más críticos en cualquier instalación de WordPress. Desde ahí, el malware ejecutaba varias funciones:descarga de enlaces de spam, redirecciones maliciosas de tráfico y generación automática de páginas falsas.
Este tipo de comportamiento apunta a campañas de monetización ilícita, probablemente orientadas al SEO fraudulento o al redireccionamiento hacia plataformas de apuestas y criptomonedas.
Un C2 casi indestructible: uso de smart contracts
Uno de los aspectos más innovadores del ataque es el uso de contratos inteligentes en la red Ethereum para ocultar la infraestructura de comando y control (C2). En lugar de depender de dominios tradicionales —que pueden ser bloqueados o intervenidos—, los atacantes almacenaban la dirección del servidor C2 dentro de un smart contract.
Este enfoque permite a los operadores actualizar dinámicamente el dominio del servidor sin necesidad de modificar el malware desplegado en los sitios comprometidos. En la práctica, esto dificulta enormemente las tareas de mitigación, ya que los mecanismos tradicionales de desmantelamiento (como la suspensión de dominios) pierden eficacia.
Estamos ante una tendencia creciente: la descentralización como herramienta ofensiva en ciberataques, aprovechando tecnologías diseñadas originalmente para la resiliencia y la transparencia.
Retirada masiva, pero riesgos persistentes
Tras la notificación, el equipo de WordPress.org eliminó todos los plugins asociados a la marca Essential Plugin del repositorio oficial. Sin embargo, el problema no termina ahí. Los sitios que ya tenían estos plugins instalados siguen potencialmente comprometidos si no han sido auditados y limpiados manualmente.
Ginder ha publicado una lista de los plugins afectados, permitiendo a administradores y responsables de seguridad identificar rápidamente si sus entornos están en riesgo. No obstante, la falta de mecanismos automáticos para alertar sobre cambios de propiedad en plugins complica la prevención de este tipo de incidentes.
