Por Canuto Una nueva vulnerabilidad bautizada como CopyFail encendió las alarmas en el ecosistema Linux tras demostrarse que un solo script puede otorgar acceso root en múltiples distribuciones. El problema afecta entornos críticos como servidores compartidos, Kubernetes, WSL2 y pipelines de CI/CD, justo cuando muchas distribuciones aún no integran los parches.
***
- La falla CVE-2026-31431 permite a un usuario local sin privilegios escalar a root en gran parte del ecosistema Linux.
- El exploit público funciona entre distribuciones sin modificaciones, lo que eleva el riesgo para centros de datos, contenedores y entornos multiusuario.
- Expertos comparan CopyFail con Dirty Pipe y Dirty Cow, mientras cuestionan la coordinación de la divulgación antes de que los proveedores publicaran parches.
Una vulnerabilidad crítica del kernel de Linux, identificada como CVE-2026-31431 y apodada CopyFail, desató una respuesta urgente entre administradores y equipos de seguridad.
El problema permite que un usuario local sin privilegios obtenga acceso root de forma casi inmediata, una condición especialmente delicada en servidores compartidos, centros de datos, contenedores y estaciones de trabajo con cargas mixtas.
El caso ganó tracción porque el código de explotación ya es público y, según los reportes técnicos, funciona en prácticamente todas las distribuciones afectadas sin necesidad de ajustes. Ese detalle cambia de forma importante la evaluación del riesgo, ya que elimina buena parte de la complejidad que suele frenar ataques reales contra distintas versiones del kernel.
La falla fue divulgada públicamente por investigadores de Theori cinco semanas después de haberla reportado en privado al equipo de seguridad del kernel de Linux. Para ese momento, el kernel ya había incorporado correcciones en las versiones 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254, pero muchas distribuciones todavía no habían integrado esos cambios al publicar el exploit.
En la práctica, eso dejó a numerosos usuarios en una situación parecida a una brecha de parche de día cero. Aunque el fallo no era técnicamente un zero-day en el kernel upstream, la ausencia de actualizaciones listas en proveedores amplió la ventana de exposición para empresas y usuarios finales.
Por qué CopyFail preocupa tanto
La categoría de CopyFail es la de una escalada local de privilegios. En términos simples, no le da a un atacante acceso inicial a una máquina, pero sí le permite tomar control total poco después de haber obtenido cualquier ejecución de código, incluso con una cuenta mínima y sin privilegios administrativos.
Ese matiz es clave para entender el riesgo real. Si un atacante compromete un plugin vulnerable de WordPress y entra como www-data, por ejemplo, puede ejecutar la prueba de concepto y convertirse en root. A partir de ahí podría leer archivos, instalar persistencia, monitorear procesos, moverse lateralmente y comprometer a otros inquilinos en la misma infraestructura.
El investigador Jorijn Schrijvershof explicó que lo que hoy se considera “local” cubre una superficie mucho mayor que hace años. Eso incluye contenedores que comparten el mismo nodo de Kubernetes, entornos de hosting compartido, trabajos de CI/CD que corren código no confiable, instancias de WSL2 en equipos con Windows y agentes de IA contenidos a los que se les conceda acceso de shell.
En todos esos escenarios, el punto común es el kernel compartido. Si esa barrera cae, la separación entre cargas, usuarios o procesos deja de ofrecer la protección esperada. Por eso varios especialistas describieron a CopyFail como una de las fallas de tipo “hazme-root” más severas en años recientes.
Un exploit pequeño, estable y transversal
Uno de los rasgos más inquietantes del caso es la confiabilidad del exploit. A diferencia de muchas vulnerabilidades del kernel que dependen de condiciones de carrera, corrupción de memoria o offsets distintos entre builds, CopyFail se basa en una falla lógica. Según investigadores de Bugcrowd citados en la cobertura original, esa característica hace que la explotación no sea probabilística.
En otras palabras, el mismo script puede funcionar entre distribuciones sin ajustes específicos. Schrijvershof señaló que el código en Python publicado por Theori operaba de forma consistente en Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. Tom’s Hardware agregó que también se considera afectado WSL2, además de variantes como Ubuntu 24, RHEL 10 y Amazon Linux 2023.
La prueba de concepto difundida públicamente tiene apenas 732 bytes, de acuerdo con Tom’s Hardware, otro detalle que reduce la barrera de entrada para actores maliciosos. El artículo describió un método de verificación basado en ejecutar un script remoto con curl y luego invocar su, aunque hacerlo implica confiar en código obtenido en línea, por lo que debe tratarse con extrema cautela.
La combinación de tamaño reducido, alta portabilidad y ausencia de ajustes manuales eleva el riesgo en infraestructuras automatizadas. En pipelines de integración y despliegue, o en sistemas donde se procesan contribuciones externas, un exploit sencillo puede incrustarse con facilidad en flujos aparentemente ordinarios.
Cómo funciona la vulnerabilidad en el kernel
El origen técnico de CopyFail está en una falla lógica dentro de la API criptográfica del kernel. Theori explicó que el problema aparece en la plantilla authencesn de AEAD, utilizada para números de secuencia extendidos de IPsec. En vez de copiar datos como debería, el código reutiliza el búfer de destino del llamador como área de trabajo y escribe 4 bytes fuera de la región legítima de salida.
La firma detalló que la “copia” de los bytes AAD ESN falla en mantenerse dentro del búfer de destino. Ese comportamiento es el que da nombre a CopyFail. A nivel práctico, el fallo permite alterar memoria cacheada por el kernel sin requerir una escritura convencional en disco, lo que complica la detección con ciertas herramientas defensivas.
Tom’s Hardware describió el mecanismo como especialmente retorcido. Según esa explicación, un atacante puede usar AF_ALG, una interfaz de sockets del kernel para operaciones criptográficas, y suministrar como etiqueta un splice de un ejecutable accesible, como su. Debido a una optimización interna en algif_aead, esos datos no se copian, sino que quedan encadenados por referencia al búfer de salida.
El algoritmo authencesn escribe luego 4 bytes en un desplazamiento fijo de esa salida. Como la etiqueta inyectada forma parte del mismo flujo, esos bytes terminan alterando directamente la copia en caché del ejecutable. Al invocarlo, el binario corrupto concede privilegios de administrador. Todo ocurre en memoria, sin una modificación tradicional en disco, lo que ayudaría a esquivar algunos controles de seguridad.
Parcheo, mitigaciones y críticas a la divulgación
Entre las distribuciones que ya habían corregido el problema se encontraban Arch Linux y RedHat Fedora al momento de la cobertura de Ars Technica. También se reportó que SUSE, RedHat y Ubuntu habían publicado guías de mitigación para usuarios que aún no contaban con un paquete actualizado.
Las mitigaciones dependen de cómo esté implementada la funcionalidad vulnerable. Si el kernel carga algif_aead como módulo, puede bloquearse con una regla de modprobe para impedir su uso. Pero algunas plataformas compilan ese componente directamente dentro del kernel, como RHEL y WSL2, según Tom’s Hardware, lo que obliga a restringir la apertura de sockets AF_ALG mediante perfiles seccomp, AppArmor o SELinux.
Más allá del aspecto técnico, la divulgación abrió un debate fuerte sobre la coordinación responsable. Will Dormann, analista principal sénior de vulnerabilidades en Tharros Labs, criticó con dureza el proceso y sostuvo que la organización que reveló el fallo hizo un trabajo “absolutamente terrible” en materia de coordinación, al publicar la información antes de comprobar si los proveedores que mencionaban ya contaban con parches listos.
La crítica no es menor porque los distribuidores de Linux suelen operar sobre ramas más antiguas del kernel y retroportar correcciones. Si la coordinación se limita al equipo central del kernel, pero no alcanza a quienes empaquetan e integran esas correcciones para usuarios reales, la publicación del exploit puede adelantar a las defensas desplegadas en producción.
Un hallazgo impulsado por IA y una amenaza inmediata
Theori señaló que su investigador Taeyang Lee encontró la vulnerabilidad después de observar que la superficie de ataque del subsistema criptográfico había sido poco explorada, en especial la interacción de splice() con páginas de page-cache y la procedencia de páginas de scatterlist. Luego, con ayuda de su herramienta Xint code impulsada por IA, el bug habría aparecido tras cerca de una hora de escaneo.
La empresa también afirmó haber desarrollado un exploit capaz de usar CopyFail para escapar de contenedores de Kubernetes. Ese punto resulta muy relevante para operadores de nube, plataformas de desarrollo y servicios multiinquilino, porque una escalada a root en el host puede convertir una intrusión limitada en un incidente de alcance mucho mayor.
Varios expertos ya comparan CopyFail con Dirty Pipe, descubierta en 2022, y Dirty Cow, de 2016, dos vulnerabilidades del kernel Linux que terminaron explotándose activamente en el mundo real. La comparación no implica identidad técnica, pero sí refleja el consenso sobre la severidad y el potencial de abuso del nuevo fallo.
Con ese contexto, la recomendación general es clara: revisar de inmediato el estado del kernel y de la distribución en uso, aplicar parches apenas estén disponibles y activar mitigaciones temporales si aún no existen paquetes corregidos. En un ecosistema donde Linux sostiene desde servidores web hasta agentes de IA y pipelines de software, una escalada local de privilegios confiable y pública merece tratarse como una prioridad operativa urgente.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Pese a escasez de chips, Apple supera expectativas de iPhone con USD $57.000 millones
IA
Japan Airlines probará robots humanoides para cargar equipaje en Haneda
Asia
India lidera el boom de ChatGPT Images 2.0 mientras el resto del mundo muestra cautela
Bitcoin