Alerta de seguridad: Actualización maliciosa de Smart Slider 3 Pro incluye puerta trasera que compromete sitios web

Backdoor descubierta en actualización del plugin Smart Slider 3 Pro

La comunidad de ciberseguridad ha detectado una grave vulnerabilidad en una actualización reciente del popular plugin para WordPress Smart Slider 3 Pro, ampliamente utilizado para crear presentaciones y sliders en sitios web. Esta actualización, lanzada en abril de 2026, contenía un backdoor malicioso integrado que podría comprometer seriamente la seguridad de las plataformas que lo utilizan, facilitando el acceso no autorizado a ciberatacantes.

Detalles técnicos del backdoor en Smart Slider 3 Pro

El plugin Smart Slider 3 Pro, que sigue siendo una herramienta clave para diseñadores y desarrolladores web, lanzó una versión oficial con un código modificado intencionalmente para incluir un backdoor. Esta puerta trasera permitía a un actor malicioso ejecutar comandos arbitrarios en el servidor afectado, otorgándole controles equivalentes a los del administrador del sistema web. Por medio de funciones ocultas y scripts ofuscados, los atacantes podían ejecutar código PHP remoto para manipular archivos, robar datos sensibles o modificar contenido sin dejar rastros evidentes.

Modo de infección y propagación

La actualización comprometida se difundió a través del canal oficial del plugin, lo que produjo una alta tasa de compromiso debido a la confianza que tienen los usuarios en las actualizaciones automáticas o instrucciones directas para mantener sus plugins al día. Al instalar la versión infectada, el backdoor se activaba automáticamente, estableciendo un canal oculto para recibir y ejecutar órdenes remotamente. Esto revela una posible infiltración previa en el ciclo oficial de desarrollo o en la infraestructura de distribución del plugin.

Impacto en la seguridad y riesgos asociados

La presencia de este backdoor abre una puerta crítica para ataques de diversa índole como:

Explotación para instalar malware adicional o ransomware en el servidor.
Robo de credenciales y datos de usuarios.
Manipulación y defacement del sitio web afectado.
Uso del servidor comprometido para lanzar ataques de denegación de servicio (DDoS).
Pérdida de integridad, confidencialidad y disponibilidad del sistema.

Recomendaciones para los usuarios afectados

Ante esta situación, es imprescindible que los administradores de sitios web que utilicen Smart Slider 3 Pro verifiquen inmediatamente la versión instalada y realicen un análisis exhaustivo de seguridad para detectar cualquier indicio de compromiso. Se recomienda también:

Actualizar a la versión segura publicada tras la detección del backdoor.
Revisar y limpiar cualquier posible modificación no autorizada en archivos del servidor.
Cambiar credenciales administrativas y de base de datos.
Monitorizar logs para identificar accesos no autorizados y actividad sospechosa.
Implementar políticas más estrictas en el control de actualizaciones y la gestión de plugins de terceros.

Conclusión

El hallazgo de una puerta trasera en una actualización oficial de Smart Slider 3 Pro confirma la necesidad de revisar los procesos de seguridad incluso en componentes y plugins ampliamente utilizados y confiables. Este incidente pone en alerta a desarrolladores y usuarios para fortalecer el control sobre las fuentes de software y promover prácticas de análisis postactualización, mitigando así riesgos elevados que pueden comprometer la integridad de sus entornos digitales.

Para más detalles puede consultarse la fuente original del descubrimiento en The Hacker News.

Fuente: https://thehackernews.com/2026/04/backdoored-smart-slider-3-pro-update.html

← Grave vulnerabilidad RCE en Marimo pone en riesgo miles de sistemas según CVE-2026-39987 Violación masiva en Hims expone datos sensibles de salud de millones de usuarios →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil