El plugin de WordPress MonsterInsights ha sufrido un ataque informático que ha dejado su web oficial fuera de línea y ha comprometido los datos de contacto de sus clientes, según informó la propia compañía el pasado 12 de junio de 2026. Lo más preocupante del incidente es que los atacantes están utilizando esa información para enviar emails de phishing haciéndose pasar por la empresa, con el objetivo de engañar a los usuarios del plugin.
Qué es MonsterInsights y por qué este ataque importa
MonsterInsights es uno de los plugins más populares del ecosistema WordPress. Su función principal es conectar el sitio web del usuario con Google Analytics y mostrar los datos de tráfico directamente desde el panel de control de WordPress, sin necesidad de tocar código. También facilita el uso de las funciones de seguimiento avanzadas de Google Analytics, que de otra manera resultan bastante complejas de configurar.
Además de la versión gratuita, la empresa ofrece una versión Pro orientada especialmente a tiendas de ecommerce. Según los datos facilitados por Search Engine Journal, la versión gratuita del plugin está instalada en más de dos millones de sitios web, y la cifra total de instalaciones —sumando la versión de pago— asciende a tres millones. Eso convierte este incidente en un problema de seguridad de considerable escala.
La web oficial de MonsterInsights, caída y con un aviso de emergencia
Según la fuente, la página de inicio del sitio oficial de MonsterInsights ha sido reemplazada por un aviso de emergencia en el que la compañía reconoce el ataque y pide calma a sus usuarios en lo que respecta al funcionamiento del plugin. El mensaje dejaba claro que las analíticas y el seguimiento no se ven afectados por el incidente.
Sin embargo, la parte más urgente del aviso era una advertencia clara: no descargar MonsterInsights desde ninguna web de terceros. Según la propia compañía, existe en este momento un intento de phishing activo relacionado directamente con el ataque. Para cualquier consulta, la empresa redirige a los usuarios a su dirección de soporte por email.
Usuarios reportan haber recibido emails fraudulentos
La confirmación de que el ataque tiene consecuencias reales para los usuarios llegó rápidamente a través de las redes sociales. De acuerdo con la información recogida por Search Engine Journal, varios usuarios publicaron en Facebook y en X (antes Twitter) que habían recibido correos de phishing aparentemente originados desde MonsterInsights.
Una usuaria relató en X que había recibido esos emails sospechosos y que, al intentar reportarlo a través del formulario de contacto de la web, obtuvo un error 403, lo que confirma que el sitio ya estaba caído en ese momento. Otra usuaria señalaba directamente a la compañía la necesidad de contactar con sus clientes por email de forma urgente, ya que los atacantes parecían tener ya acceso a su base de datos de contactos.
La respuesta oficial de MonsterInsights en redes sociales
La compañía reaccionó publicando un aviso en su cuenta de X en el que confirmaba que estaba gestionando el ataque y reiteraba la advertencia de no instalar el plugin desde ninguna fuente que no sea la oficial. Según los datos facilitados, el mensaje dejaba claro que existe un intento de phishing activo en marcha.
De acuerdo con la información publicada, la empresa no ha dado detalles sobre el vector del ataque ni sobre qué datos de los usuarios podrían haberse visto comprometidos. Lo que sí parece evidente, a tenor de los testimonios en redes, es que los atacantes accedieron al menos a las direcciones de email de los clientes.
Qué deberías hacer si usas MonsterInsights
Si tienes instalado MonsterInsights en tu web, lo más importante en este momento es no descargar ni reinstalar el plugin desde ningún sitio que no sea el repositorio oficial de WordPress (wordpress.org) o, cuando vuelva a estar operativa, la web oficial de la compañía. Los atacantes pueden estar distribuyendo versiones modificadas del plugin que contengan código malicioso.
Además, si has recibido algún email de MonsterInsights en las últimas horas, conviene que extremes la precaución antes de hacer clic en cualquier enlace. Según la información disponible, los mensajes fraudulentos buscan engañar a los usuarios para que descarguen una versión falsa del plugin u otras acciones que podrían comprometer la seguridad de su sitio. A continuación, un resumen de los pasos recomendados:
- No descargues el plugin desde webs de terceros, únicamente desde wordpress.org.
- No hagas clic en enlaces de correos recibidos supuestamente de MonsterInsights hasta que la situación se aclare.
- Comprueba si tu versión actual del plugin es legítima revisando el hash o comparándola con la versión oficial del repositorio.
- Si tienes dudas, contacta directamente con el soporte de la compañía a través del email que han indicado en su aviso oficial.
Un recordatorio de los riesgos del ecosistema de plugins de WordPress
Este incidente pone de relieve un riesgo que los administradores de WordPress conocen bien: la cadena de suministro de plugins puede ser un vector de ataque muy efectivo. Cuando un plugin con millones de instalaciones activas sufre un compromiso de su infraestructura, el impacto potencial es enorme, ya que los atacantes pueden llegar a millones de sitios de forma simultánea.
No es la primera vez que ocurre algo similar en el ecosistema de WordPress, y probablemente no será la última. Por eso, según recomiendan habitualmente los expertos en seguridad web, mantener los plugins actualizados desde fuentes oficiales y revisar regularmente los accesos al sitio son medidas básicas pero imprescindibles para reducir el riesgo de sufrir este tipo de ataques.
Fuente: https://www.searchenginejournal.com/monsterinsights-website-compromised-and-sending-phishing-emails/579140/