Una campaña de cibercriminales ha logrado comprometer la cadena de suministro de WordPress al comprar plugins existentes con buena reputación y modificarlos para incluir puertas traseras. Los primeros análisis indican que al menos 30 plugins fueron adquiridos y modificados antes de recibir actualizaciones envenenadas que alcanzaron a miles de sitios web que los tenían instalados.

La técnica, conocida como ataque a la cadena de suministros, es particularmente insidiosa porque explota la confianza que los usuarios depositan en plugins que ya conocían y utilizaban. A diferencia de la creación de nuevos plugins maliciosos, que los usuarios desconfían por ser desconocidos, la modificación de plugins establecidos y populares permite evadir las precauciones habituales. Los comentarios en Hacker News indican que los atacantes han sido muy pacientes y han mantenido las puertas traseras activas durante semanas antes de activarlas.

WordPress alimenta aproximadamente el 40 por ciento de todos los sitios web del mundo, lo que convierte a su ecosistema de plugins en un objetivo recurrente. En América Latina, la popularidad de WordPress es especialmente alta entre pequeñas y medianas empresas que utilizan la plataforma para su presencia digital. La recomendación de los expertos de seguridad citados en el hilo de Hacker News es revisar inmediatamente los plugins instalados, verificar su origen y considerar el uso de soluciones de monitoreo de integridad de archivos en el servidor.

Las cámaras de comercio electrónico y las asociaciones de empresas digitales de varios países latinoamericanos han comenzado a emitir alertas sobre el incidente. Mientras tanto, la comunidad de seguridad informa que algunos de los plugins comprometidos ya han sido eliminados del directorio oficial de WordPress, aunque la limpieza completa de los sitios afectados podría tomar semanas. Los webmasters que detecten comportamientos sospechosos en sus instalaciones de WordPress deben considerar la restauración desde copias de seguridad anteriores a marzo de 2026.