9,8 de 10: descubren en Telegram una vulnerabilidad zero-day que permite tomar el control de cuentas sin que el propietario lo sepa
Los chats privados de los usuarios siguen expuestos a una vulnerabilidad crítica.
Telegram tiene motivo para trabajar con urgencia en la seguridad del mensajero. En la base de Zero Day Initiative apareció una entrada sobre una vulnerabilidad crítica con una puntuación de 9,8 sobre 10, y el plazo para corregir el problema se limitó a cuatro meses. Aún no hay detalles, pero los datos publicados hasta ahora han sido suficientes para que el hallazgo atraiga la atención de los especialistas.
Se trata de la entrada ZDI-CAN-30207, que fue comunicada a Telegram el 26 de marzo de 2026. La divulgación pública está programada para el 24 de julio de 2026, salvo que la compañía corrija el problema antes. La vulnerabilidad fue descubierta por Michael Deplant, vinculado al proyecto TrendAI Zero Day Initiative.
Por ahora no se ha divulgado la descripción técnica. Este enfoque es habitual en Zero Day Initiative: el equipo da tiempo al desarrollador para publicar una actualización y solo después publica los detalles. Por esa razón es pronto para hablar de ataques masivos o de un escenario completo de explotación. Por el momento solo está confirmado el hecho de la existencia de una vulnerabilidad crítica y el plazo que se dio a Telegram para corregirla.
La evaluación preliminar resulta preocupante. El vector CVSS indicado apunta a un ataque remoto a través de la red, de baja complejidad de explotación, sin privilegios y sin interacción del usuario. Si se confirman esos parámetros, el problema podría estar entre los más peligrosos, ya que ese tipo de vulnerabilidades a menudo permiten al atacante obtener control total del proceso y afectan simultáneamente la confidencialidad, integridad y disponibilidad de los datos.
Según la información disponible, Telegram aún no ha comentado públicamente el hallazgo. En los canales oficiales de noticias del mensajero no había aparecido ningún comunicado sobre ZDI-CAN-30207 en el momento de la publicación. Dado el nivel de criticidad, el mercado ahora esperará no explicaciones, sino la pronta publicación de una corrección.