- El fallo CopyFail permite a usuarios sin privilegios escalar a root mediante un error lógico en el subsistema criptográfico.
- La vulnerabilidad CVE-2026-31431 afectó a una gama inmensa de kernels desde 2017 hasta 2026.
- Existen riesgos adicionales en el sistema de archivos HFS que pueden provocar la caída total del sistema o ejecución de código.
Cuando pensamos en Linux, lo primero que nos viene a la cabeza es que es un sistema robusto y extremadamente resistente. Es verdad que es la columna vertebral de gran parte de la infraestructura de Internet y de los servidores más potentes del mundo, pero eso no significa que sea un búnker impenetrable. De hecho, recientemente han salido a la luz fallos que nos recuerdan que incluso el software más revisado puede tener grietas peligrosas, obligándonos a buscar una seguridad avanzada en Linux para proteger los sistemas.
Uno de los casos más impactantes es el llamado CopyFail, un problema que no es una simple errata en una aplicación cualquiera, sino que se encuentra en el corazón mismo del kernel. Esto es preocupante porque permite que alguien con accesos muy limitados pueda, básicamente, tomar las llaves del reino y obtener control total del equipo.
El enigma de CopyFail: CVE-2026-31431
Esta vulnerabilidad, identificada técnicamente como CVE-2026-31431, es lo que se conoce como un fallo lógico en flujo secuencial. Para los que no hablamos lenguaje técnico, significa que no depende de errores aleatorios de memoria o de timing, sino de un error en la manera en que el código está escrito. El problema reside concretamente en el componente authencesn del kernel, el cual es accesible a través de la interfaz de sockets de criptografía AF_ALG y la función del sistema splice().
Lo que deja boquiabiertos a los expertos es que este agujero estuvo acechando en silencio desde el año 2017 hasta que fue detectado en 2026. Durante casi una década, las auditorías de seguridad habituales no dieron campana, permitiendo que el fallo persistiera en millones de dispositivos. El exploit que desarrollaron los investigadores de Theori es sorprendentemente simple: un script de Python de apenas 732 bytes que utiliza solo la librería estándar, lo que lo hace extremadamente peligroso por su facilidad de uso.
A diferencia de otros exploits que requieren que el atacante tenga una suerte increíble con las condiciones de carrera o que conozca offsets exactos del kernel, CopyFail es establemente explotable. Esto significa que cualquier usuario local, ya sea a través de una cuenta normal, un contenedor comprometido o un proceso de CI/CD, puede ejecutar una escritura de 4 bytes en la caché de páginas del kernel para escalar privilegios hasta root en Linux sin despeinarse.
Sistemas afectados y alcance del problema
El impacto es sistémico y masivo. Se han verificado afectaciones en una lista larguísima de distribuciones populares. Entre ellas encontramos a Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16, aunque la lista se extiende a Debian, Fedora, Arch, Rocky y Oracle Linux. Básicamente, cualquier sistema que use kernels compilados entre 2017 y abril de 2026 está en la zona de riesgo, abarcando desde la versión 4.14 hasta la 6.18.22.
Es importante subrayar que el vector de ataque es local. Esto quiere decir que el atacante ya debe tener un pie dentro del sistema, pero en entornos de nube con múltiples inquilinos o contenedores que comparten el mismo kernel, el riesgo se multiplica. La facilidad con la que este fallo puede convertirse en una herramienta de movimiento lateral lo convierte en una prioridad absoluta para cualquier administrador de sistemas.
Otras amenazas: El caso del sistema de archivos HFS
Pero no todo se queda en CopyFail. También ha saltado la alarma con el CVE-2025-0927, un fallo localizado en el sistema de archivos HFS del Kernel de Linux. En este caso, el problema es una validación insuficiente de las entradas cuando el sistema procesa estructuras corruptas. Si un atacante logra que el sistema lea una imagen HFS malformada, podría provocar una sobreescritura de memoria.
Las consecuencias de este segundo fallo pueden variar desde un simple denegación de servicio (DoS) que deje el sistema colgado, hasta algo mucho más grave como la ejecución de código arbitrario con permisos elevados. Este problema afecta especialmente a versiones del kernel hasta la 6.12.0 y a instalaciones específicas como Ubuntu 22.04 con kernel 6.5.0-18-generic.
¿Cómo protegerse y mitigar los riesgos?
La solución definitiva es, como siempre, mantener el software al día. Para CopyFail, es fundamental aplicar el commit de corrección a664bf3d603d o actualizar el kernel a la versión parcheada que proporcione la distribución. En entornos de nube como AWS, Azure o GCP, se debe priorizar la instalación de los parches en cuanto el proveedor los libere, especialmente en servidores de salto y entornos multiusuario.
Si por alguna razón no puedes reiniciar el sistema inmediatamente, existe un truco para mitigar la vulnerabilidad. Puedes deshabilitar el módulo algif_aead creando un archivo en /etc/modprobe.d/blacklist-algif.conf con la línea install algif_aead /bin/false. Si el módulo ya está activo, basta con ejecutar rmmod algif_aead para dejarlo fuera de combate y cerrar la puerta al atacante sin necesidad de reiniciar.
La detección de CopyFail también ha puesto sobre la mesa el papel de la Inteligencia Artificial. Se sabe que herramientas de análisis basadas en IA fueron las que ayudaron a encontrar este error que los humanos pasaron por alto durante nueve años. Esto nos deja una lección agridulce: la IA es una aliada increíble para los defensores, pero también puede ser el arma perfecta para que los atacantes encuentren agujeros similares en tiempo récord.
