Teléfonos de contacto
| País | Teléfono | Acciones |
| Colombia | (+57) 300 911 4307 | Llamar |
| Fijo en Bogotá, Colombia | (601) 770 2907 | Llamar |
| Estados Unidos y Canadá (Toll free) | (+1) 888 407 0977 | Llamar |
| Resto del mundo | (+1) 713 554 8397 | Llamar |
Teléfonos de contacto
| País | Teléfono | Acciones |
| Colombia | (+57) 300 911 4307 | Llamar |
| Fijo en Bogotá, Colombia | (601) 770 2907 | Llamar |
| Estados Unidos y Canadá (Toll free) | (+1) 888 407 0977 | Llamar |
| Resto del mundo | (+1) 713 554 8397 | Llamar |
Desde junio de 2026 se ha observado una serie de ataques contra sitios web desarrollados en Joomla. De acuerdo con la revisión técnica inicial, el problema estaría relacionado con vulnerabilidades en al menos cuatro extensiones populares de terceros, entre las cuales se han identificado JCE Editor y SP Page Builder, aunque no se descarta que existan otros componentes comprometidos según cada instalación.
En varios casos, el síntoma más visible de que un sitio ha sido hackeado ha sido la aparición del mensaje “Hacked by Antonkill”, asociado a un ataque conocido como defacement, en el que se modifica la apariencia pública de una página web.
Aunque el mensaje en pantalla suele ser lo que más preocupa a directivos, equipos de comunicación y visitantes del sitio, desde el punto de vista técnico puede existir un riesgo más amplio: archivos alterados, código inyectado, accesos no autorizados, vulnerabilidades sin corregir o componentes comprometidos.
En las últimas semanas, IngeWeb ha venido analizado este comportamiento en sitios Joomla y recopilando evidencias de su alcance.
Los resultados visibles en Google muestran múltiples sitios indexados con el mensaje “Hacked by Antonkill”, incluyendo organizaciones educativas, institucionales y corporativas.
Y aquí queremos reforzar la importancia de revisar el estado técnico de los sitios Joomla, incluso cuando no presentan una alteración visible.
El mensaje “Hacked by Antonkill” suele aparecer cuando el atacante modifica la página pública del sitio web para dejar una marca visible. A este tipo de ataque se le conoce como defacement.

Captura usada únicamente con fines informativos. Parte del dominio afectado ha sido ocultado por responsabilidad editorial.
En términos sencillos, el atacante “cambia la cara” del sitio. En lugar de mostrar el contenido original, la página presenta una pantalla, frase o imagen introducida por el atacante.
Esta situación afecta la confianza de los usuarios, la reputación de la organización y la percepción de seguridad del sitio.
Sin embargo, el defacement no siempre representa todo el alcance del incidente. Un sitio puede haber sido vulnerado sin mostrar un mensaje visible. También puede ocurrir que el daño público sea apenas una parte del problema técnico.
Uno de los puntos más importantes de este evento es que no todos los ataques terminan con el mismo resultado.
Algunos sitios muestran una pantalla de “Hacked by Antonkill”, otros aparecen alterados en los resultados de Google y otros pueden haber sido vulnerados sin una señal evidente para el usuario final.

Esto ocurre porque los atacantes pueden usar vectores similares, pero aplicar diferentes acciones después de explotar la vulnerabilidad.
En algunos casos buscan visibilidad. En otros, pueden intentar dejar archivos ocultos, crear accesos persistentes, insertar scripts o preparar el sitio para nuevos ataques.
La información técnica disponible apunta a vulnerabilidades en extensiones de terceros utilizadas en Joomla.
CISA incluyó la vulnerabilidad CVE-2026-48907, asociada a Joomla Content Editor, dentro de su catálogo de vulnerabilidades explotadas activamente, lo que confirma que este tipo de fallas no es teórico, sino que ha sido usado en ataques reales.
También se han publicado alertas técnicas sobre la explotación activa de vulnerabilidades en JCE y SP Page Builder, recomendando revisar de inmediato los sitios que utilizan estas extensiones.
Es importante aclarar que esto no significa que todos los ataques provengan únicamente de esas extensiones. En un entorno Joomla pueden existir otros componentes, plantillas o plugins desactualizados que amplíen la superficie de ataque.
En muchos casos, las vulnerabilidades críticas no están en el núcleo de Joomla, sino en extensiones instaladas para ampliar sus funcionalidades.
Esta diferencia es clave, porque permite orientar la solución de forma más precisa: no se trata simplemente de “cambiar de CMS”, sino de revisar arquitectura, extensiones, versiones, permisos, archivos, servidor y mecanismos de mantenimiento.
(Le puede interesar: WordPress y Joomla - Mitos alrededor de los dos CMS más populares)
Una instalación Joomla puede ser segura si se administra correctamente. Pero también puede quedar expuesta cuando se acumulan años de actualizaciones pendientes, dependencias antiguas o componentes que ya no reciben soporte.
Cuando una vulnerabilidad se hace pública antes de que muchos sitios hayan aplicado el parche, se abre una ventana de riesgo. Durante ese periodo, atacantes con distintos niveles de conocimiento pueden intentar explotar sitios que todavía no han sido actualizados.
Este es uno de los escenarios más delicados en seguridad web. No siempre basta con “actualizar algún día”. En vulnerabilidades explotadas activamente, la oportunidad de respuesta puede medirse en horas o pocos días.
Además, en sitios complejos no siempre es viable actualizar todo de forma automática. Algunas extensiones pueden entrar en conflicto, una actualización puede afectar funcionalidades críticas o una versión mayor puede requerir pruebas previas. Por eso, el mantenimiento técnico debe combinar rapidez, criterio y conocimiento de la arquitectura del sitio.
Un sitio Joomla puede requerir revisión técnica si presenta alguna de estas señales:
Un análisis serio debe incluir archivos, base de datos, extensiones, usuarios, permisos, logs del servidor y estado de indexación en buscadores.
Si su sitio Joomla muestra una alteración visible o sospecha que pudo haber sido vulnerado, lo recomendable es actuar con método.
Primero, debe evitar hacer cambios improvisados que borren evidencia o empeoren el problema. Luego, conviene realizar una copia del estado actual para análisis técnico, revisar accesos, identificar archivos modificados y validar si existen usuarios, scripts o componentes alterados.
También es necesario revisar si el ataque afectó solo la parte visible del sitio o si dejó accesos persistentes. En algunos casos, limpiar únicamente la página alterada no resuelve el problema, porque el atacante puede conservar una puerta de entrada para volver a modificar el sitio.
La corrección debe incluir limpieza, actualización, revisión de extensiones, endurecimiento de seguridad y validación posterior en buscadores.
Quitar el mensaje visible puede dar la impresión de que el sitio quedó recuperado. Pero, si no se corrige la vulnerabilidad que permitió el acceso, el sitio puede volver a ser atacado.
| Una recuperación técnica adecuada debe responder preguntas como estas: |
|---|
| ✓¿Por dónde ingresó el atacante? |
| ✓¿Qué extensión o componente estaba vulnerable? |
| ✓¿Qué archivos fueron modificados? |
| ✓¿Hubo creación de usuarios no autorizados? |
| ✓¿Se inyectó código en la base de datos? |
| ✓¿El sitio quedó indexado en Google con contenido alterado? |
| ✓¿Existen tareas programadas, scripts o archivos persistentes? |
| ✓¿La versión instalada ya cuenta con parches disponibles? |
Sin estas respuestas, la organización solo estaría corrigiendo el síntoma, no la causa.
Se puede perder visibilidad en Google si el buscador indexa títulos, descripciones o páginas alteradas por el atacante.
En algunos casos, el resultado de búsqueda puede mostrar mensajes como “Hacked by Antonkill”, lo que afecta la confianza del usuario antes de que entre al sitio.
Además del impacto reputacional, pueden aparecer URLs extrañas, redirecciones no autorizadas o advertencias de seguridad en navegadores.
Por eso, la recuperación no debe limitarse a limpiar el sitio: también debe revisarse cómo quedó representado el dominio en Google.
Si Google ya muestra el mensaje del ataque en sus resultados, es necesario limpiar primero el sitio y confirmar que no queden archivos, scripts, usuarios o redirecciones maliciosas.
Después, se debe revisar Google Search Console para detectar alertas de seguridad, páginas afectadas y posibles URLs indexadas de forma incorrecta.
Una vez corregido el problema, conviene reenviar el sitemap, solicitar indexación de las páginas principales y monitorear si Google actualiza los títulos y fragmentos alterados.
En estos casos, la limpieza técnica y la recuperación SEO deben trabajarse juntas.
La prevención requiere una gestión constante del sitio. No se limita a instalar actualizaciones de vez en cuando.
Estas acciones ayudan a reducir el riesgo:
El mensaje “Hacked by Antonkill” ha hecho visible un problema que puede afectar a numerosos sitios Joomla desde junio de 2026. Pero el verdadero riesgo no está solo en la pantalla alterada, sino en las vulnerabilidades que permitieron el acceso y en los cambios internos que pueden pasar desapercibidos.
Si su organización utiliza Joomla, este es un buen momento para revisar el estado técnico del sitio, validar sus extensiones, aplicar parches pendientes y confirmar que no existan señales de compromiso.
Un sitio que se ve bien no siempre está seguro. La revisión técnica oportuna puede evitar daños mayores, proteger la reputación de la organización y mantener la continuidad de su presencia digital.
En IngeWeb contamos con experiencia en Joomla, WordPress, Moodle y soluciones basadas en software libre. Revisamos el sitio desde la causa técnica del incidente, validamos posibles afectaciones en Google y acompañamos la recuperación para que su organización pueda retomar su operación digital con mayor tranquilidad.
No espere a que el problema sea visible para actuar. Un sitio puede estar comprometido aunque aparentemente funcione bien.
Solicite una revisión especializada de su sitio Joomla y reciba orientación de nuestro equipo técnico.