La comunidad de seguridad ha encendido las alarmas tras el hallazgo de una vulnerabilidad crítica en el demonio Telnet incluido en GNU Inetutils. Investigadores israelíes revelaron que el servicio telnetd contiene un fallo de memoria que puede permitir a un atacante remoto no autenticado ejecutar código con privilegios elevados, lo que lo convierte en un riesgo inmediato para sistemas que aún exponen el servicio en redes accesibles.
La debilidad ha sido registrada como CVE-2026-32746 y recibe una puntuación CVSS muy alta, 9.8 sobre 10, lo que refleja la gravedad: se trata de un desbordamiento ocasionado por una escritura fuera de los límites en el manejador de la subopción SLC (Set Local Characters) del modo LINEMODE del protocolo Telnet. En términos sencillos, durante las negociaciones iniciales del protocolo un paquete especialmente construido puede corromper memoria en telnetd y abrir la puerta a modificaciones arbitrarias que, en la práctica, pueden derivar en ejecución remota de código.
El descubrimiento fue realizado y reportado por la firma Dream el 11 de marzo de 2026. Según sus análisis, versiones de Inetutils hasta la 2.7 resultan afectadas, y se espera que una solución pública esté disponible a más tardar el 1 de abril de 2026. La investigación técnica de Dream, que puede consultarse en su aviso público, explica cómo la vulnerabilidad se activa durante la fase de negociación de opciones del protocolo Telnet, antes incluso de que se muestre un aviso de inicio de sesión al usuario.
Un aspecto que agrava el riesgo es que la explotación no requiere credenciales ni interacción adicional: basta con abrir una conexión TCP al puerto 23 y enviar los datos malformados durante el handshake. Dado que en muchas instalaciones telnetd se ejecuta con permisos de root bajo demonios como inetd o xinetd, una explotación exitosa puede conceder al atacante control total del sistema afectado. Esto facilita acciones post-explotación como la instalación de puertas traseras persistentes, exfiltración de información o movimiento lateral dentro de una red comprometida.
La propia descripción técnica en los listados de la comunidad GNU refleja que el error se produce cuando el manejador de SLC procesa múltiples "tripletas" dentro de la subopción y termina escribiendo fuera del búfer objetivo, provocando corrupción de memoria que puede convertirse en escrituras arbitrarias. Puede consultarse el intercambio en la lista de correo de Inetutils para más contexto técnico: mensaje en la lista de correo.
La noticia llega apenas unas semanas después de otra vulnerabilidad crítica en el mismo componente, CVE-2026-24061, que también fue catalogada con una severidad máxima. Esa vulnerabilidad anterior pasó a explotación activa en entornos reales según reportes de organismos de seguridad, lo que subraya la necesidad de actuar con rapidez ante este nuevo fallo.
Mientras los proveedores trabajan en el parche, las recomendaciones para mitigar el riesgo son prácticas y urgentes: si Telnet no es imprescindible, lo más prudente es deshabilitar el servicio por completo. En escenarios donde su uso es obligatorio, conviene limitar el alcance del servicio, por ejemplo ejecutando telnetd con privilegios mínimos en lugar de root, restringiendo el acceso mediante reglas de firewall que bloqueen el puerto 23 desde redes no confiables y aislando los puntos de acceso a Telnet en segmentos muy controlados. Bloquear el puerto 23 en el perímetro y aplicar controles a nivel de host reduce la superficie de ataque hasta que llegue la corrección definitiva.
Para administradores que quieran seguir la evolución del problema y obtener el parche cuando esté disponible, es recomendable vigilar las comunicaciones oficiales de GNU Inetutils y el aviso técnico publicado por los descubridores: el aviso de Dream ofrece detalles sobre la técnica de explotación y los vectores implicados, y la entrada en el NVD documenta la clasificación y puntuación de la vulnerabilidad. Enlace al análisis de Dream: dreamgroup.com — advisory, y referencia pública en el NVD: CVE-2026-32746 en NVD.
Este incidente recuerda que, aunque tecnologías como Telnet son antiguas y en muchos entornos han sido reemplazadas por alternativas seguras como SSH, siguen presentes en sistemas embebidos, equipos de red heredados y entornos industriales. Esos entornos suelen presentar mayor dificultad para aplicar parches y, por lo tanto, mayor exposición. Por eso es clave combinar medidas inmediatas (desactivar servicios innecesarios y endurecer accesos) con un plan a medio plazo que incluya la actualización sistemática de software y la migración a protocolos más modernos y con cifrado.
En resumen, la vulnerabilidad en telnetd de GNU Inetutils es un riesgo serio por su facilidad de explotación y el potencial de obtener privilegios elevados. Administradores y responsables de seguridad deben actuar sin demora para reducir la exposición, monitorizar las fuentes oficiales para aplicar el parche recomendando y revisar el uso de Telnet en sus infraestructuras en favor de soluciones más seguras. Para más contexto sobre protocolos Telnet y su negociación de opciones, puede consultarse la especificación original en el RFC 854: RFC 854 — Telnet Protocol Specification.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...