8 min de lectura Por Excello Mail Team

CVE-2026-4020: El Plugin de Email de WordPress Que Entrega a los Atacantes Tu Autorización DMARC

Una vulnerabilidad de junio de 2026 en el plugin Gravity SMTP de WordPress expone las claves API del proveedor de correo a peticiones no autenticadas. Los atacantes con esas claves pueden enviar desde tu dominio a través de tu propio ESP, superando SPF, DKIM y DMARC sin ningún obstáculo.

Una vulnerabilidad divulgada en junio de 2026 en el plugin WordPress Gravity SMTP ilustra una categoría de fallos de seguridad en el correo electrónico que DMARC nunca fue diseñado para abordar. CVE-2026-4020 es un fallo de divulgación de información no autenticada en la API REST del plugin. Un atacante que encuentre un sitio WordPress con una versión vulnerable puede obtener las credenciales de la API del proveedor de correo almacenadas en el sitio con una sola petición HTTP, sin necesidad de autenticación.

Gravity SMTP es un plugin de gestión de entrega de correo con más de 100.000 instalaciones activas de WordPress. Integra WordPress con servicios de envío de terceros – proveedores como SendGrid, Mailgun, Postmark y Amazon SES – y almacena esas credenciales de API en la base de datos de WordPress para usarlas cada vez que el sitio envía correo. La vulnerabilidad expone esas credenciales a través de un endpoint que no verifica si el solicitante tiene permiso para leerlas.

La consecuencia directa es precisa: un atacante que tenga la clave API de tu ESP puede enviar correo desde tu dominio usando tu propia infraestructura de envío configurada. Ese correo superará SPF, DKIM y DMARC porque la capa de autenticación no tiene forma de distinguir un mensaje que enviaste tú de uno enviado por alguien que usa tus credenciales robadas.

En Qué Consiste el Fallo y Cómo Funciona

Gravity SMTP proporciona a WordPress una interfaz centralizada para gestionar la entrega de correo transaccional y de notificaciones. En lugar de usar el wp_mail() integrado de WordPress con un relay SMTP genérico, el plugin permite a los administradores configurar conexiones nominadas a proveedores de correo específicos, probar esas conexiones y enrutar diferentes tipos de correo generado por el sitio a través de diferentes cuentas de proveedor.

Para habilitar estas funciones, el plugin almacena las credenciales del proveedor en la tabla de opciones de WordPress. Para la mayoría de las integraciones, esas credenciales son claves API emitidas por el proveedor de envío. La vulnerabilidad – clasificada como divulgación de información no autenticada – existe en un endpoint de API REST que el plugin registra para dar soporte a su interfaz administrativa. El endpoint es accesible sin autenticación y su respuesta incluye las credenciales del proveedor almacenadas.

Un atacante que descubre un sitio WordPress con una versión vulnerable de Gravity SMTP solo necesita enviar una petición HTTP GET a una ruta de endpoint conocida. La respuesta devuelve las claves API configuradas en texto plano. El ataque no requiere ninguna cuenta de WordPress, ninguna cookie de sesión y ninguna ingeniería social. Es una extracción de credenciales en un solo paso desde cualquier instalación de WordPress que tenga el plugin vulnerable instalado y activo.

Por Qué DMARC No Puede Detectar Este Ataque

Cuando configuras una cuenta de proveedor de servicios de correo electrónico, llevas a cabo varios pasos que vinculan tu dominio a la infraestructura de envío de ese proveedor. Añades las IPs o nombres de host de envío del proveedor a tu registro SPF. Configuras la firma DKIM, bien concediendo al proveedor permiso para firmar en nombre de tu dominio, bien añadiendo la clave pública DKIM a tu DNS. Puedes establecer tu política DMARC en p=reject para bloquear cualquier envío que no se alinee con esas fuentes autorizadas.

Toda esa configuración crea un conjunto de señales de autenticación que los servidores receptores usan para verificar que un mensaje entrante que afirma ser de tu dominio fue realmente enviado por una parte autorizada. Cuando un atacante usa tu clave API robada para enviar a través de tu ESP, es una parte autorizada desde la perspectiva de la capa de autenticación. El mensaje se origina desde las IPs de envío de tu ESP, que están en tu registro SPF. El mensaje está firmado con la clave DKIM de tu dominio, porque tu ESP firma todos los mensajes salientes en tu nombre. El dominio del encabezado From coincide. DMARC evalúa todo esto y emite un resultado de aprobación.

No hay ningún fallo de autenticación que detectar porque nada en la autenticación está fallando. Las credenciales son reales. La infraestructura está autorizada. Las firmas son válidas. DMARC fue diseñado para verificar que un mensaje pasó por una infraestructura autorizada, no para verificar que la persona que inició el mensaje a través de una API tenía permiso para hacerlo.

Este es un límite arquitectónico fundamental de la autenticación a nivel de dominio: opera en la capa de transporte y firma, no en la capa de credenciales de aplicación. Una vez que el robo de credenciales puentea esas capas, las señales de autenticación se convierten en evidencia de un ataque en lugar de una defensa contra él.

El Daño a la Entregabilidad Es Inmediato

Más allá de la amenaza directa de ataques de suplantación, el abuso de envío basado en credenciales causa daño colateral a la entregabilidad del remitente legítimo.

Cuando un atacante usa una clave API de ESP robada para enviar phishing o spam a gran escala, el patrón de comportamiento de tu cuenta cambia drásticamente. El volumen de envío se dispara. Destinatarios fuera de tu lista normal reciben mensajes. Las tasas de quejas por spam aumentan. Las tasas de rebote por direcciones no válidas se incrementan. Estas señales alimentan los sistemas de reputación mantenidos por Gmail, Microsoft y otros grandes proveedores de bandeja de entrada – no para la infraestructura del atacante, sino para tu cuenta ESP y tu dominio de envío.

El daño a la reputación derivado de un incidente de abuso de credenciales persiste después de que la brecha sea remedida. Incluso después de rotar la clave API comprometida y detener el envío no autorizado, el historial de comportamiento permanece en los sistemas de reputación de los proveedores receptores. La recuperación de la entregabilidad tras un incidente de abuso de credenciales sostenido puede llevar semanas.

Las organizaciones que no monitorizan su comportamiento de envío no tienen visibilidad sobre si su cuenta ESP está siendo utilizada por otra persona hasta que los proveedores de bandeja de entrada comienzan a diferir o rechazar su propio correo legítimo. Los informes agregados de DMARC pueden no detectar esto en absoluto si el envío no autorizado está superando la autenticación, porque los informes agregados contabilizan tasas de aprobación y fallo de autenticación en lugar de detectar comportamiento anómalo dentro del tráfico que pasa.

Qué Deben Hacer los Sitios Que Usan Gravity SMTP

Actualiza el plugin de inmediato. La vulnerabilidad se encuentra en versiones específicas de Gravity SMTP anteriores a la versión parcheada. Cualquier sitio WordPress que ejecute una versión afectada está expuesto independientemente de otras configuraciones de seguridad. Las actualizaciones de plugins de WordPress están disponibles a través del panel de administración estándar de WordPress.

Rota todas las claves API. Incluso si no hay evidencia de explotación, cualquier sitio que ejecutara una versión vulnerable mientras era públicamente accesible debe tratar sus credenciales ESP almacenadas como comprometidas y rotarlas. La mayoría de los proveedores de servicios de correo permiten la rotación de credenciales sin interrumpir el servicio: se pueden emitir nuevas claves, configurarlas y probarlas antes de revocar las antiguas.

Audita los registros de actividad de tu cuenta ESP. Todos los principales proveedores de servicios de correo mantienen registros de actividad que registran eventos de envío, llamadas a la API y eventos de autenticación por credencial. Después de rotar las credenciales, revisa el registro de actividad del periodo anterior. Los patrones de envío inusuales, las listas de destinatarios inesperadas o los eventos de envío en momentos en que tu sitio no estaba generando correo activamente son indicadores de mal uso de las credenciales.

Revisa tus informes agregados DMARC en busca de anomalías de volumen. Incluso cuando el envío basado en credenciales supera la autenticación DMARC, los informes agregados muestran el volumen total de envío por fuente. Un pico en el volumen de envío autenticado desde tu ESP que no corresponde a una campaña conocida o a un evento operativo es una señal que vale la pena investigar, incluso si el estado de autenticación muestra 100% de aprobación.

Considera separar las credenciales de notificación del sitio de las credenciales de marketing. Una configuración común coloca todo el correo generado por el sitio – confirmaciones de pedidos, restablecimientos de contraseña, notificaciones de administración – a través de la misma cuenta ESP que las campañas de marketing. Separar estas en claves API distintas limita el radio de explosión de un compromiso de credenciales: las credenciales robadas del plugin no exponen automáticamente las credenciales usadas para envíos de marketing de alto volumen, y viceversa.

El Problema Más Amplio de la Cadena de Suministro de Credenciales

CVE-2026-4020 es un caso de un patrón que se repite en todo el ecosistema de herramientas que las organizaciones usan para gestionar el envío de correo. Los plugins de WordPress, las integraciones de CRM, las plataformas de automatización de marketing y las herramientas de soporte al cliente frecuentemente almacenan credenciales ESP en tablas de base de datos o archivos de configuración accesibles a través de vulnerabilidades en la capa de aplicación.

La aplicación de DMARC protege contra partes externas que intentan enviar correo que afirma ser de tu dominio sin ningún acceso a tu infraestructura. No proporciona ninguna protección contra un atacante que gana acceso a las credenciales de aplicación que autorizan el envío a través de esa infraestructura. Las dos categorías de amenazas requieren defensas diferentes, y ambas están activas.

Para las organizaciones que gestionan sitios WordPress intensivos en correo – tiendas de comercio electrónico, productos SaaS, plataformas de membresía – la capa de credenciales es la superficie de ataque que los registros de autenticación en DNS no pueden proteger. Las auditorías periódicas de qué credenciales están almacenadas en tu instalación de WordPress, dónde se usan y si siguen principios de mínimo privilegio son el control que llena el vacío que deja DMARC.


Excello Mail te ofrece visibilidad continua de tus informes agregados DMARC, fuentes de envío y tendencias de volumen en todos tus flujos de correo. Regístrate gratis en Excello Mail y sabe de inmediato cuando algo envía desde tu dominio sin que debería hacerlo.