Los actores de amenazas están intentando explotar activamente una falla de seguridad crítica que afecta Mapas WP Proun complemento de WordPress que ha tenido más de 15.000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios vulnerables.

WP Maps Pro permite a los propietarios de sitios incorporar Google Maps y OpenStreetMap personalizables con marcadores, listados y funciones de ubicación avanzadas en sitios de WordPress. Se utiliza como herramienta de localización de tiendas, lo que facilita a los usuarios encontrar ubicaciones cercanas, ver detalles de listados y obtener direcciones.

La vulnerabilidad en cuestión es CVE-2026-8732 (Puntuación CVSS: 9,8), un error de escalada de privilegios que permite a atacantes no autenticados crear un usuario de WordPress con permisos administrativos, permitiéndoles efectivamente tomar el control de un sitio.

La deficiencia afecta a todas las versiones del complemento anteriores a la 6.1.0 incluida. Se ha solucionado en la versión 6.1.1. Al investigador de seguridad David Brown se le atribuye el mérito de descubrir e informar la falla.

En un nivel alto, el problema tiene su origen en una característica de «acceso temporal» que está diseñada para permitir que el personal de soporte inicie sesión en el sitio de un cliente durante la resolución de problemas. Debido a que este proceso permite a los usuarios no autenticados invocar la función «wpgmp_temp_access_support()» sin las comprobaciones adecuadas, en última instancia les permite crear un usuario administrador.

«Esto se debe a que la acción wpgmp_temp_access_ajax AJAX está registrada con wp_ajax_nopriv_ y protegida solo por una verificación nonce usando el nonce fc-call-nonce, que se incrusta públicamente en cada página frontal a través de wp_localize_script como el campo nonce del objeto JavaScript wpgmp_local, lo que hace que la verificación sea ineficaz como mecanismo de control de acceso», Wordfence dicho.

«Esto hace posible que atacantes no autenticados invoquen el controlador wpgmp_temp_access_support con check_temp=false, que crea incondicionalmente un nuevo usuario de WordPress con el rol codificado de administrador a través de wp_insert_user() y devuelve una URL de inicio de sesión mágica que, cuando se visita, llama a wp_set_auth_cookie() para autenticar completamente al atacante como el administrador recién creado, lo que resulta en una toma completa del sitio».

El parche publicado por los mantenedores del complemento el 20 de mayo de 2026 cierra la vulnerabilidad al garantizar que solo los administradores autenticados puedan acceder al punto final.

Dicho esto, desde entonces la falla de seguridad ha sido objeto de explotación activa, y Wordfence afirma que ha bloqueó 2.858 ataques abordando el problema durante las últimas 24 horas. Por lo tanto, es esencial que los propietarios de sitios actualicen sus instancias a la última versión para una protección óptima.

Las amenazas a la ciberseguridad para las elecciones intermedias de 2026 están dirigidas a las cuentas y plataformas que las campañas, los donantes y los votantes utilizan para comunicarse, según un informe de seguridad publicado el lunes por Check Point Software Technologies.

En lo que va de este ciclo electoral, las amenazas no están dirigidas a las máquinas de votación ni a los sistemas de conteo de votos. En cambio, los actores de amenazas van tras las cuentas de correo electrónico, los sitios web y las plataformas de recaudación de fondos de las que dependen las organizaciones electorales.

Jeremy Fuchs, director de campaña de Check Point, dijo a CyberScoop que los principales hallazgos del informe reflejan una tendencia más amplia en ciberseguridad: los malos actores están utilizando la IA para hacer que sus ataques sean más grandes y más efectivos.

«La barrera de entrada es menor y la calidad es mucho mayor que hace tres o diez años, por lo que todo parecerá más realista y será más eficaz para lograr cualquier objetivo». [attackers] tengo”, dijo.

El correo electrónico sigue siendo la forma más fácil para que los piratas informáticos ataquen a grupos relacionados con las elecciones. Check Point descubrió que el 82% de los ataques maliciosos llegan a través del correo electrónico. El informe también encontró una gran cantidad de contraseñas robadas de los principales sitios de recaudación de fondos. A ActBlue, que recauda donaciones para los candidatos demócratas, le robaron unas 9.500 contraseñas. WinRed, la plataforma republicana de recaudación de fondos, tenía alrededor de 6.500.

Fuchs señaló que esta información puede no usarse directamente para esquemas relacionados con las elecciones, pero podría aprovecharse para intentos oportunistas de seguimiento de acceder a otras cuentas.

«Cada vez que ocurre una exposición como esta, ya sea con un sitio político o no, muchas veces se guarda para más adelante», dijo. «Si tengo su correo electrónico y contraseña, si tengo su número de teléfono, puedo iniciar un ataque, un simple ataque de phishing que no tiene nada que ver con las elecciones en este momento».

Los actores de amenazas también están registrando muchos sitios web nuevos con nombres relacionados con las elecciones. En enero, alrededor de 1.300 nuevos sitios web incluyeron la palabra “elección” y alrededor de 4.010 incluyeron la palabra “voto”. Estos sitios web se pueden utilizar para estafas de phishing, en las que los piratas informáticos engañan a las personas para que revelen sus contraseñas haciéndose pasar por organizaciones electorales legítimas.

Fuchs señaló que no todos los sitios web pueden resultar maliciosos, pero la velocidad con la que se han establecido estos sitios (especialmente cuando los sitios de campaña legítimos han estado funcionando años antes de una elección) ha llevado a los investigadores a creer que la mayoría se utilizarán con fines nefastos.

«Si estás creando estos sitios web muy rápidamente y a escala, hay una razón para ello», afirmó.

La desinformación y el contenido manipulado presentan otra capa de preocupación, especialmente porque el contenido político generado por IA se ha vuelto cada vez más visible en el ciclo 2026. A principios de este mes, OpenAI lanzó un conjunto de herramientas y salvaguardas destinadas a proporcionar una capa de seguridad para este ciclo electoral en particular.

Fuchs dijo que esta manipulación impulsada por la IA solo crecerá a medida que nos acerquemos al día de las elecciones, y a medida que los modelos mejoren, también lo hará la capacidad de los actores para engañar a las personas con contenido falso.

«Es realmente difícil encontrarle sentido a estas cosas cuando la IA y los ataques se han vuelto tan buenos», dijo. «Era difícil cuando no eran buenos. Así que ahora imaginen cuánto más difícil será cuando sean buenos y sigan mejorando cada vez más».

Fuchs advirtió que la velocidad a la que están evolucionando las amenazas electorales impulsadas por la IA presenta un desafío que se extiende más allá de las defensas técnicas, y dijo que el verdadero desafío radica en un panorama de amenazas que está cambiando más rápido de lo que la comprensión pública puede seguir.

«Hay mucho más que nosotros, como sociedad, realmente podemos comprender», dijo a CyberScoop. La IA generativa «se está moviendo muy rápido. Se está volviendo tan buena. Y si no tenemos esas conversaciones sobre, 'oye, así es como las cosas podrían cambiar', todo esto seguirá volviéndose cada vez más difícil. Y va a estallar en estos puntos de inflexión, si una elección es el lugar perfecto para ello, porque hay mucho en juego para tanta gente».

Has leído el informe completo sobre Check Point's sitio web.