El mensajero Telegram es vulnerable a una falla crítica que permite a los hackers tomar el control de las cuentas sin ninguna acción por parte del usuario. La brecha está registrada en la base del proyecto Zero Day Initiative y recibió 9,8 puntos sobre 10 en la escala general de evaluación de peligros CVSS. El descubrimiento ocurrió el 26 de marzo de 2026, los datos aún no se han revelado y podrían publicarse después del 24 de julio. Sin embargo, los expertos ya confirmaron que para explotar la vulnerabilidad no se requiere la interacción con la víctima y la complejidad del ataque se considera baja. Entre los primeros en llamar la atención sobre la amenaza se encuentran los especialistas de las empresas rusas Positive Technologies y Kaspersky.
Zero‑click y archivos multimedia: cómo funciona el ataque
El experto principal en gestión de vulnerabilidades del PT Expert Security Center en Positive Technologies, Alexander Leonov, explicó que un atacante puede enviar a la víctima un archivo multimedia malicioso especialmente preparado. Al ver este archivo, incluso sin hacer clic en él, se puede ejecutar código malicioso en el dispositivo.
Basándonos en el vector de vulnerabilidad, suponemos que una de las posibles opciones de explotación podría ser que el atacante envíe a la víctima un archivo multimedia malicioso especialmente preparado. Al ver este archivo, incluso sin hacer clic en él, se puede ejecutar código malicioso en el dispositivo del usuario
Teóricamente, agregó el experto, los hackers pueden obtener control total sobre el mensajero o acceso completo a la cuenta del usuario, incluyendo la correspondencia. Según datos de los hackers, para atacar Android y Linux basta con enviar un sticker animado, lo que lleva a la ejecución remota de código (zero‑click RCE). Ya existen un exploit funcional y un generador de archivos.
La vulnerabilidad ya se está vendiendo, aún no hay parche
En el mismo Telegram aparecieron publicaciones sobre la venta de información sobre esta brecha. El experto de Kaspersky ICS CERT, Vladimir Daschenko, en su canal de Telegram calificó la situación como «diversión corta pero intensa» si los datos no resultan ser una estafa.
Si no es una estafa, seguramente cerrarán [la vulnerabilidad] rápidamente. Pero si es verdad, habrá "diversión". Corta, pero intensa
Al momento de la publicación, no existe un parche oficial de los desarrolladores de Telegram. La vulnerabilidad figura en la categoría Upcoming con la nota de que los detalles se revelarán después del 24 de julio de 2026, para que la empresa tenga tiempo de corregirla.
Características de la vulnerabilidad (ZDI‑CAN‑30207)
- Evaluación según CVSS 3.1: 9,8 (nivel crítico)
- Vector de ataque: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Tipo: zero‑click, ejecución remota de código (RCE)
- Plataformas afectadas: Android, Linux
- Acción requerida del atacante: enviar un sticker animado
- Estado de la corrección: sin parche, vulnerabilidad confirmada
- Fecha de descubrimiento: 26 de marzo de 2026
- Divulgación planificada de detalles: después del 24 de julio de 2026
Para comparar: las vulnerabilidades críticas anteriores en Telegram requerían al menos una interacción mínima del usuario (por ejemplo, hacer clic en un enlace). Zero‑click RCE es extremadamente raro y se considera una de las clases de vulnerabilidades más peligrosas en los mensajeros. La evaluación de 9,8 puntos se acerca al máximo (10) e indica la posibilidad de una compromiso total del dispositivo sin el conocimiento del propietario.