Los ciberdelincuentes están aprovechando una vulnerabilidad crítica en Burst Statistics, un plugin de analítica para WordPress instalado en unos 200.000 sitios web, para obtener acceso de administrador a páginas vulnerables. El fallo, identificado como CVE-2026-8181, permite a atacantes no autenticados suplantar a usuarios administradores durante peticiones a la API REST de WordPress e incluso crear nuevas cuentas con privilegios elevados.

Burst Statistics se presenta como una alternativa ligera y centrada en la privacidad frente a herramientas como Google Analytics. Sin embargo, un error introducido en la versión 3.4.0, publicada el 23 de abril de 2026, abrió la puerta a una toma de control completa de sitios web. La vulnerabilidad también estuvo presente en la versión 3.4.1.

La empresa de seguridad Wordfence descubrió el fallo el 8 de mayo y advirtió de que era previsible que los atacantes comenzaran a explotarlo. Esa previsión ya se ha cumplido: su plataforma ha bloqueado más de 7.400 ataques contra CVE-2026-8181 en solo 24 horas, lo que confirma una actividad maliciosa significativa contra webs WordPress que aún no han actualizado.

Ad

Una autenticación rota con impacto crítico

El problema reside en un fallo de autenticación. Según el análisis de Wordfence, la vulnerabilidad permite que un atacante que conozca un nombre de usuario válido de administrador pueda hacerse pasar por él durante cualquier petición a la API REST de WordPress. Para ello, solo necesita enviar una cabecera de autenticación básica con una contraseña arbitraria, aunque sea incorrecta.

La gravedad del fallo está en que el plugin interpreta de forma errónea el resultado de la función wp_authenticate_application_password(). En lugar de tratar correctamente ciertos errores o respuestas nulas, el código acaba considerando como válida una petición que no debería estar autenticada.

Como consecuencia, Burst Statistics llama a wp_set_current_user() con el nombre de usuario proporcionado por el atacante. En la práctica, esto permite que la solicitud se ejecute como si procediera de ese administrador legítimo, aunque el atacante no conozca su contraseña.

En el peor escenario, un ciberdelincuente puede utilizar este fallo para crear una nueva cuenta de administrador sin autenticación previa. A partir de ahí, el sitio queda completamente comprometido.

Por qué los nombres de usuario son fáciles de conseguir

Uno de los factores que aumenta el riesgo es que los nombres de usuario de administradores en WordPress no siempre son secretos. Pueden aparecer en entradas del blog, comentarios, archivos de autor, respuestas de la API pública o incluso ser descubiertos mediante técnicas de enumeración y fuerza bruta.

Esto significa que un atacante no necesita robar credenciales completas. Le basta con identificar un usuario con permisos elevados y aprovechar la vulnerabilidad para ejecutar acciones en su nombre a través de la API REST.

Para muchas webs pequeñas, medios digitales, blogs corporativos o tiendas online, este escenario es especialmente peligroso porque WordPress sigue siendo una de las plataformas más utilizadas del mundo y los ataques automatizados contra plugins vulnerables suelen escalar con rapidez.

Qué puede hacer un atacante con acceso de administrador

El acceso de administrador en WordPress equivale prácticamente al control total del sitio. Un atacante puede crear nuevas cuentas ocultas, instalar plugins maliciosos, modificar temas, alterar contenidos, insertar redirecciones, robar información privada, desplegar malware o utilizar la web como infraestructura para nuevas campañas.

También puede acceder a bases de datos, obtener correos electrónicos de usuarios registrados, modificar formularios para capturar datos, inyectar scripts de robo de credenciales o crear puertas traseras para mantener el acceso incluso después de que el plugin vulnerable sea actualizado.

En el caso de webs con tráfico relevante, el impacto puede ir más allá del propietario del sitio. Los visitantes podrían ser redirigidos a páginas fraudulentas, descargas maliciosas o campañas de phishing. Por eso, este tipo de fallos en plugins populares no solo afecta a los administradores de WordPress, sino también a la cadena de confianza entre los usuarios y las páginas que visitan.

Más de 100.000 sitios podrían seguir expuestos

La versión corregida, Burst Statistics 3.4.2, fue publicada el 12 de mayo de 2026. Los usuarios del plugin deben actualizar de inmediato a esa versión o, si no pueden hacerlo, desactivar temporalmente el complemento.

Según las estadísticas de WordPress.org citadas en el análisis, Burst Statistics registró unas 85.000 descargas desde la publicación de la versión corregida. Si todas esas descargas correspondieran a la actualización segura, todavía quedarían aproximadamente 115.000 sitios expuestos a ataques de toma de control mediante CVE-2026-8181.

La cifra ilustra uno de los grandes problemas de seguridad del ecosistema WordPress: la ventana entre la publicación de un parche y su adopción real por parte de los administradores. En cuanto una vulnerabilidad se hace pública, los atacantes automatizan el escaneo de sitios vulnerables y lanzan campañas masivas para explotar aquellos que no han aplicado la actualización.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre