Investigadores de seguridad han revelado una vulnerabilidad grave en el kernel de Linux conocida como Copy Fail (CVE-2026-31431), que permite a un usuario local sin privilegios escribir cuatro bytes controlados en la caché de páginas de cualquier archivo legible y, con ello, provocar la elevación de privilegios hasta root. El fallo reside en la lógica del subsistema criptográfico del kernel, específicamente en el módulo algif_aead, y proviene de un cambio introducido en el código en agosto de 2017, lo que significa que muchas distribuciones llevan años expuestas.
Lo que diferencia a Copy Fail de otros fallos es su simplicidad y portabilidad: los investigadores demostraron un exploit en Python de apenas 732 bytes capaz de inyectar código en un binario setuid (por ejemplo, /usr/bin/su) y ejecutarlo con privilegios de administrador. No se necesita un exploit remoto ni condiciones de carrera complejas; la técnica se apoya en cómo una operación AEAD mediante un socket AF_ALG puede terminar escribiendo una página de la caché en un destino que el proceso controlado puede manipular, y luego usar splice() para completar la escritura en la caché del archivo objetivo.
Desde una perspectiva operativa, esto tiene implicaciones críticas para servidores compartidos y entornos de contenedores: la caché de páginas es una estructura compartida entre procesos, por lo que un usuario confinado en un contenedor o un trabajador en un servidor multiusuario puede, potencialmente, afectar binarios en el sistema anfitrión. Proveedores de nube y responsables de infraestructuras multicliente deben considerar la vulnerabilidad como de alto riesgo para la integridad de entornos aislados y desplegar mitigaciones urgentes.
Los equipos de mantenimiento de distribuciones ya han publicado avisos y parches; la vía de mitigación correcta y definitiva es aplicar las actualizaciones del kernel proporcionadas por su proveedor (Amazon, Red Hat, SUSE, Debian, Ubuntu, entre otros). Puede consultar la entrada oficial en la base de datos de vulnerabilidades para detalles técnicos y referencias de parches en NVD – CVE-2026-31431 y revisar el código afectado en el árbol oficial del kernel en git.kernel.org – crypto/algif_aead.c.
Mientras llega el parche o en entornos donde no es posible un reinicio inmediato, existen medidas temporales que los equipos de seguridad deberían considerar con cautela: evaluar si el módulo algif_aead es cargable y, cuando sea posible, descargarlo (modprobe -r) en sistemas que lo permitan; restringir el acceso a cuentas locales no confiables y reducir al mínimo los usuarios con permisos para operar sockets AF_ALG; y, en entornos de contenedores, revisar las políticas de aislamiento, límites de syscalls y capacidades que podrían facilitar este tipo de ataques. Hay que advertir que algunas mitigaciones “rápidas” como eliminar el bit setuid de utilidades críticas afectan funcionalidad y deben usarse solo con un plan de recuperación.
Además de las correcciones, es importante investigar posibles indicadores de compromiso: comprobar la integridad de binarios setuid mediante las herramientas de verificación de paquetes (rpm -V, debsums, etc.), revisar logs de ejecución y auditoría (auditd) en busca de execve inusuales sobre binarios sensibles y buscar cambios inesperados en /usr/bin y otros directorios de sistema. Los entornos gestionados y servicios cloud deberían priorizar la rotación de imágenes y la actualización de nodos de forma coordinada para evitar ventanas de exposición.
La recurrencia de fallos que manipulan la página de caché —recuerde que Copy Fail viene en la estela de vulnerabilidades previas como Dirty Pipe— pone de manifiesto que las optimizaciones de rendimiento en el kernel pueden introducir vectores de ataque duraderos. Para equipos de desarrollo y operadores, la lección es doble: por un lado, mantener ciclos de parcheo rápidos y pruebas de regresión que incluyan casos de seguridad; por otro, reforzar políticas de menor privilegio y diseño defensivo para minimizar el impacto de explotaciones locales.
Si administra sistemas Linux, priorice la aplicación de los boletines de seguridad de su distribución y programme reinicios controlados tras la actualización del kernel. Mantenga la vigilancia en los canales oficiales de su proveedor y en bases de datos de vulnerabilidades, y planifique una auditoría postparche para detectar cualquier uso indebido previo. La coordinación entre equipos de seguridad, operaciones y proveedores es clave para contener esta vulnerabilidad que, por su naturaleza, afecta a un amplio espectro de despliegues desde estaciones de trabajo hasta servidores en la nube.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...