En un mundo cada vez más conectado, la seguridad cibernética se convierte en un tema de vital importancia. Recientemente, se ha detectado una vulnerabilidad crítica en el protocolo Telnet, que afecta a una gran cantidad de dispositivos en todo el mundo. Investigadores de la organización Shadowserver han identificado cerca de 800,000 direcciones IP que utilizan Telnet, lo que revela una amplia superficie de ataque que los cibercriminales podrían aprovechar.
Este antiguo protocolo, que permite el acceso remoto a dispositivos, no debería estar expuesto a Internet, especialmente por su falta de seguridad inherente.
La vulnerabilidad en cuestión, designada como CVE-2026-24061, permite a los atacantes eludir la autenticación y obtener acceso de root en los sistemas afectados. A pesar de que se trata de un problema conocido, muchas implementaciones de Telnet siguen utilizándose en dispositivos antiguos, como routers y sistemas IoT, lo que aumenta significativamente el riesgo de exposición.
Detalles de la vulnerabilidad CVE-2026-24061
La brecha de seguridad fue reportada por primera vez en enero de 2026 y afecta a versiones de GNU InetUtils desde la 1.9.3 hasta la 2.7. En la versión 2.8, lanzada el 20 de enero, se incluyó un parche que corrige este problema. La gravedad de esta vulnerabilidad ha sido clasificada como 9.8 sobre 10, lo que la convierte en una de las más críticas en el ámbito de la seguridad.
Cómo funciona el ataque
El manejo de esta vulnerabilidad se basa en la capacidad del servidor telnetd para invocar el comando \/usr\/bin\/login con parámetros proporcionados por el cliente. Si un atacante envía un valor manipulado en la variable de entorno USER, como -f root, puede acceder al sistema sin los pasos normales de autenticación. Esto significa que cualquier persona que configure adecuadamente su conexión Telnet podría hacerse con el control total del dispositivo afectado.
Impacto y estadísticas globales
Según datos de Shadowserver, la mayor parte de los dispositivos comprometidos se encuentran en Asia, con aproximadamente 380,000 instancias, seguidas de 170,000 en América del Sur y alrededor de 100,000 en Europa. Este panorama sugiere que una gran parte de los usuarios no han actualizado sus sistemas, dejándolos vulnerables a ataques.
Los investigadores de seguridad han observado que, poco después de la publicación del parche, los atacantes comenzaron a escanear los dispositivos en busca de aquellos que aún no habían sido protegidos. En un estudio reciente, se detectó que al menos 18 direcciones IP habían realizado más de 60 sesiones Telnet, logrando acceso no autenticado en el 83% de los casos. Aunque muchos de estos intentos de acceso resultaron fallidos, la velocidad y la frecuencia de los ataques subrayan la necesidad urgente de que los administradores de sistemas tomen medidas preventivas.
Recomendaciones de seguridad
Para aquellos que no puedan aplicar el parche de inmediato, los expertos recomiendan deshabilitar el servicio telnetd o bloquear el puerto TCP 23 en todos los cortafuegos. Esta acción ayudará a mitigar el riesgo de ataque mientras se realizan las actualizaciones necesarias. Mantener el protocolo Telnet expuesto al público es un riesgo significativo, especialmente para dispositivos legados que aún se utilizan ampliamente en aplicaciones de IoT.
La situación actual en torno a la vulnerabilidad de Telnet es alarmante y destaca la importancia de mantener actualizados los sistemas y seguir las mejores prácticas de seguridad. Los administradores de red deben actuar rápidamente para asegurar sus dispositivos y prevenir posibles intrusiones.
