Gravity SMTP: 100K sitios WordPress bajo ataque por CVE-2026-4020

¿Qué está pasando con Gravity SMTP?

Más de 17 millones de intentos de exploit han sido bloqueados por Wordfence desde que atacantes comenzaron a explotar masivamente la vulnerabilidad CVE-2026-4020 en el plugin Gravity SMTP de WordPress. Esta falla expone claves API, tokens OAuth y datos de configuración del sistema a cualquiera que envíe una sola petición HTTP sin autenticación.

Para founders que operan sitios WordPress, esto no es teoría: más de 100.000 sitios están potencialmente comprometidos, con 412 IPs de ataque identificadas por CrowdSec al 1 de junio de 2026. La explotación activa comenzó el 27 de mayo de 2026, dos meses después de que el parche estuviera disponible.

¿Cómo funciona exactamente esta vulnerabilidad?

El problema técnico radica en un endpoint REST mal configurado: /wp-json/gravitysmtp/v1/tests/mock-data. Este endpoint tiene un permission_callback que devuelve siempre true, lo que significa que cualquier visitante, sin credenciales ni autenticación, puede acceder.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Cuando un atacante añade el parámetro ?page=gravitysmtp-settings a la URL, el plugin ejecuta el método register_connector_data() y devuelve aproximadamente 365 KB de JSON con el reporte completo del sistema. Los datos expuestos incluyen:

Versión de PHP y extensiones cargadas
Versión del servidor web y ruta del document root
Tipo y versión de la base de datos
Versión de WordPress y tema activo
Lista completa de plugins instalados con sus versiones
Nombres de tablas de la base de datos
Claves API y tokens configurados en el plugin
Credenciales SMTP y constantes de wp-config.php

La vulnerabilidad afecta todas las versiones de Gravity SMTP hasta la 2.1.4 inclusive. La versión 2.1.5, lanzada el 31 de marzo de 2026, corrige el problema.

¿Por qué los atacantes esperan dos meses para explotar?

Este patrón es común en ciberseguridad: el proveedor (RocketGenius, la empresa detrás de Gravity Forms y Gravity SMTP) lanzó el parche de forma discreta el 17 de marzo de 2026, pero la divulgación pública ocurrió el 30 de marzo de 2026. Esto dejó una ventana de exposición de semanas críticas donde los sitios sin actualizar quedaron vulnerables sin que sus dueños lo supieran.

Los atacantes monitorean activamente los changelogs de plugins populares y las bases de datos de vulnerabilidades como NVD y Wordfence Intelligence. Cuando identifican un fallo que expone credenciales operativas (no solo información teórica), movilizan infraestructura distribuida para explotar masivamente antes de que la mayoría de los sitios apliquen el parche.

En este caso, la explotación se clasificó rápidamente como «Background Noise» en los sistemas de CrowdSec, lo que indica que se volvió rutinaria y automatizada, no un ataque dirigido. Esto es peor para founders: significa que bots escanean constantemente todos los sitios WordPress, no solo los de alto perfil.

¿Qué significa esto para tu startup?

Si tu startup usa WordPress (el 43% de la web lo hace), esta vulnerabilidad debería activar alarmas inmediatas. No se trata solo de actualizar un plugin: es un recordatorio de que cada plugin añadido es una superficie de ataque potencial, especialmente aquellos que manejan credenciales sensibles.

Gravity SMTP es particularmente crítico porque centraliza las credenciales de envío de correo transaccional: newsletters, notificaciones de usuarios, recuperaciones de contraseña, facturas. Si un atacante obtiene esas claves API de SendGrid, Mailgun o Amazon SES, puede:

Enviar phishing desde tu dominio (dañando tu reputación de email)
Interceptar correos legítimos (violando privacidad de usuarios)
Acceder a otros servicios si reutilizas credenciales
Escalar el ataque usando la información del sistema report para identificar otras vulnerabilidades

Acciones inmediatas que debes tomar hoy

1. Actualiza y verifica la versión

Accede a tu panel de WordPress y verifica que Gravity SMTP esté en la versión 2.1.5 o superior. Si no puedes actualizar inmediatamente (por compatibilidad con otros plugins o temas), implementa una regla en tu WAF o servidor web para bloquear el acceso no autenticado al endpoint vulnerable:

/wp-json/gravitysmtp/v1/tests/mock-data

Muchos hosting gestionados (Kinsta, WP Engine, SiteGround) ya tienen reglas activas, pero no asumas: verifica.

2. Rota todas las credenciales expuestas

Si tenías una versión vulnerable instalada, asume que tus credenciales fueron comprometidas. Rota inmediatamente:

Contraseña del servidor SMTP configurado
Claves API de proveedores de email (SendGrid, Mailgun, Postmark, Amazon SES)
Security keys de WordPress en wp-config.php si el reporte del sistema las exponía
Cualquier token OAuth almacenado en el plugin

No esperes a ver evidencia de compromiso: la explotación es silenciosa y los logs no siempre capturan estas peticiones REST.

3. Implementa principios de seguridad por diseño

Esta vulnerabilidad expone un problema estructural: plugins que almacenan secretos operativos en la base de datos de WordPress sin encriptación adecuada. Para el futuro:

Usa cuentas SMTP dedicadas por entorno (producción, staging, desarrollo) con permisos mínimos
Configura límites de envío en tus proveedores de email para detectar anomalías
Considera proveedores que soporten rotación de claves sin downtime
Elimina plugins que no uses activamente: cada uno es un vector potencial
Monitorea logs de acceso buscando peticiones inusuales a endpoints REST

¿Hay alternativas más seguras a Gravity SMTP?

No existe un plugin «100% seguro», pero puedes evaluar alternativas basándote en criterios de seguridad:

Historial de respuesta a vulnerabilidades: ¿El equipo publica parches rápidos y comunica transparentemente?
Minimización de secretos almacenados: ¿El plugin guarda credenciales en texto plano o usa encriptación?
Soporte para autenticación fuerte: ¿Permite OAuth, API keys rotativas, 2FA?
Logs de auditoría: ¿Puedes rastrear quién accedió a la configuración y cuándo?

Proveedores como SendGrid, Mailgun, Postmark y Amazon SES ofrecen SDKs oficiales para WordPress con mejores prácticas de seguridad integradas. Algunos founders optan por soluciones headless donde las credenciales viven en variables de entorno del servidor, no en la base de datos de WordPress.

El patrón más grande: exposición de información en plugins WordPress

CVE-2026-4020 no es un caso aislado. En 2025-2026, hemos visto múltiples vulnerabilidades con el mismo patrón: endpoints REST expuestos sin controles de autorización adecuados. La clase de fallo es más importante que el CVE específico:

REST API sin autenticación que devuelve configuración interna
Volcado de datos sensibles en formato legible (JSON)
Exposición de secretos operativos útiles para escalada posterior
Uso de la información filtrada para movimiento lateral o ataques secundarios

Para founders, la lección es clara: la seguridad de WordPress no es solo del hosting. Es responsabilidad activa mantener plugins actualizados, minimizar la superficie de ataque y asumir que cualquier endpoint expuesto será escaneado y explotado.

Conclusión

La vulnerabilidad CVE-2026-4020 en Gravity SMTP es un recordatorio brutal de que en el ecosistema WordPress, la velocidad de parcheo importa más que la perfección. El parche estuvo disponible desde marzo de 2026, pero la explotación masiva comenzó en mayo porque miles de sitios no actualizaron a tiempo.

Para tu startup, esto se traduce en tres principios operativos:

Automatiza las actualizaciones de seguridad o establece un proceso semanal obligatorio
Asume que las credenciales se filtran y diseña sistemas con rotación fácil y daños contenidos
Monitorea proactivamente endpoints críticos, no esperes a que Wordfence o CrowdSec te avisen

La ciberseguridad en startups no es un feature: es la base sobre la que construyes confianza con usuarios, inversores y partners. Un incidente de seguridad puede destruir años de reputación en horas.