Una vulnerabilidad de alta gravedad detectada en instalaciones por defecto de Ubuntu Desktop a partir de la 24.04 ha encendido las alarmas en la comunidad de seguridad: un fallo que podría permitir a un atacante local sin privilegios escalar hasta obtener acceso root completo. La investigación fue publicada por la unidad de investigación de amenazas de Qualys, que ha descrito cómo la interacción entre dos componentes estándar del sistema —el manejador de confinamiento de snaps y el limpiador automático de archivos temporales— puede abrir una ventana para un compromiso total del equipo. Puedes leer el informe original de Qualys aquí, y la entrada del CVE en la base de datos del NVD está disponible en el registro público de NIST.
En términos sencillos, el problema nace de una colisión accidental entre snap-confine —el componente que prepara y aísla los entornos de ejecución de las aplicaciones distribuidas como snaps— y systemd-tmpfiles, el servicio que periódicamente limpia archivos y directorios temporales del sistema. Bajo condiciones por defecto, systemd-tmpfiles puede eliminar directorios que snap-confine espera encontrar y recrear con permisos seguros. Si un atacante logra anticipar ese borrado, puede recrear el espacio eliminado con contenidos manipulados que, al ser montados por snap-confine, acaban ejecutándose con privilegios de root.
La dificultad del ataque no está en requerir privilegios elevados ni interacción del usuario: la explotación necesita únicamente cuenta local y ejecución de código por parte del atacante. Lo que complica la explotación es el factor temporal. systemd-tmpfiles actúa según umbrales de antigüedad y, en las configuraciones por defecto de Ubuntu, ese periodo es relativamente largo: en Ubuntu 24.04 la limpieza de ciertos contenidos se programa cada 30 días, mientras que en versiones posteriores el periodo por defecto puede ser de 10 días. Es decir, el exploit depende de esperar a que el daemon borre un directorio crítico y aprovechar la ventana que queda para colocar la trampa maliciosa antes de la siguiente inicialización del sandbox.
Qualys calificó la vulnerabilidad como de gravedad alta, con un puntaje CVSS de 7.8, porque el impacto potencial es la toma total del host. El fallo ha sido registrado como CVE-2026-3888 y ya existen correcciones publicadas en las ramas afectadas de snapd, el servicio responsable de gestionar paquetes snap. Las versiones afectadas y las correcciones han sido desplegadas tanto en paquetes de Ubuntu como en el desarrollo upstream de snapd; la página de lanzamientos del proyecto upstream es un buen punto de referencia para ver las versiones corregidas: snapd releases. Para comprender mejor el comportamiento de limpieza que posibilita el ataque, la documentación de systemd sobre systemd-tmpfiles aporta contexto técnico útil: systemd-tmpfiles (man).
Paralelamente a este problema, Qualys identificó otra debilidad de carrera en la implementación de utilidades de sistema por parte del proyecto uutils (una reimplementación en Rust de los coreutils tradicionales). Este fallo permite a un atacante local sustituir entradas de directorio por enlaces simbólicos durante ejecuciones programadas por cron bajo usuario root, lo que podría derivar en borrados arbitrarios de ficheros como root o en otros vectores de escalada al apuntar a directorios sensibles usados por los snaps. Canonical reaccionó ante este riesgo revirtiendo temporalmente el comando rm por defecto a la variante clásica de GNU coreutils en la senda de Ubuntu 25.10, mientras que los mantenedores de uutils han aplicado correcciones upstream en su repositorio: uutils/coreutils.
Si usas Ubuntu Desktop en alguna de las ramas afectadas, la recomendación inmediata es instalar las actualizaciones publicadas por tu distribución para snapd y estar al día con los avisos de seguridad de Ubuntu. El centro de seguridad de Ubuntu ofrece una visión general de avisos y boletines, y es un buen punto de partida para seguir las correcciones oficiales: Ubuntu Security. En general, actualizar snapd mediante las herramientas del sistema (apt, snap refresh, o el procedimiento que aplique tu versión) es la vía más directa para cerrar esta brecha. Para administradores con necesidad de mitigaciones rápidas adicionales, revisar la configuración de systemd-tmpfiles para acortar ventanas de limpieza o cambiar políticas sobre qué rutas se purgan puede reducir la superficie de ataque hasta que la corrección sea aplicada —siempre desde la prudencia y comprobando el impacto operativo de esos cambios.
Este incidente subraya una lección recurrente en seguridad: incluso componentes diseñados para aislar y proteger —como los sandboxes de snap— pueden resultar inseguros cuando interactúan con otras piezas del sistema que no fueron concebidas para cooperar en ese escenario. La cadena de confianza es tan sólida como el eslabón más débil, y en este caso la sincronización temporal de tareas de mantenimiento creó ese eslabón. Mantener sistemas actualizados, revisar configuraciones por defecto y vigilar las comunicaciones de seguridad de los proveedores son prácticas que, aunque básicas, continúan siendo las más efectivas para reducir el riesgo.
Para quienes quieran profundizar en los aspectos técnicos, el análisis detallado de Qualys es un buen punto de partida, y los enlaces a los repositorios de snapd y uutils permiten seguir las correcciones y entender cómo se han abordado los fallos a nivel de código. La nota de NIST ofrece además la clasificación y el historial del CVE, útil para integrar la información en procesos de gestión de vulnerabilidades corporativos. Mantente atento a las actualizaciones y aplica los parches recomendados tan pronto como sea posible para proteger equipos y datos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...