La agencia estadounidense CISA ha confirmado que actores maliciosos ya están explotando en entornos reales la falla conocida como Copy Fail (CVE-2026-31431), apenas un día después de que los investigadores de Theori publicaran la vulnerabilidad y compartieran un exploit de prueba de concepto. Esta velocidad —divulgación pública seguida por explotación activa— convierte a la vulnerabilidad en una prioridad inmediata para equipos de seguridad y administradores de sistemas.
Copy Fail afecta a la interfaz criptográfica algif_aead del kernel de Linux y permite a un usuario local no privilegiado escalar a privilegios root escribiendo únicamente cuatro bytes controlados en la caché de página de cualquier archivo legible. El exploit publicado por Theori funciona sin modificaciones en varias distribuciones modernas y, según sus pruebas, es fiable en kernels construidos desde 2017 hasta el parche, lo que sitúa a una gran parte de los servidores y endpoints en riesgo. Puede consultarse el seguimiento de la vulnerabilidad en el repositorio de Debian en security-tracker.debian.org y la divulgación de Theori en copy.fail.
La respuesta oficial se ha acelerado: CISA añadió la falla al Known Exploited Vulnerabilities (KEV) Catalog y ordenó a las agencias federales estadounidenses aplicar parches en un plazo de dos semanas según la política KEV y la directiva vinculante BOD 22-01. Aunque ese mandato rige sólo al sector federal, CISA y la comunidad de seguridad recomiendan que todas las organizaciones prioricen esta corrección por la posibilidad real de obtención de shells root en servidores expuestos o con usuarios locales maliciosos.
Para mitigar el riesgo de forma inmediata, actualice el kernel y los paquetes de su distribución siguiendo las instrucciones del proveedor; haga despliegues de prueba y, cuando sea viable, reinicie los sistemas para que los cambios en el núcleo entren en efecto. Si no es posible aplicar el parche de inmediato, reduzca la superficie de ataque limitando el acceso local: revise cuentas, suprim a accesos innecesarios, y aplique políticas de control de ejecución y de integridad. También es recomendable habilitar o reforzar mecanismos de control como SELinux/AppArmor y registrar con detalle las elevaciones de privilegio y las conexiones locales sospechosas.
Detectar explotación previa o activa requiere buscar indicadores de actividad anómala: procesos inesperados con UID 0, shells interactivos iniciados por cuentas no administrativas, nuevos binarios en /tmp o /var, y registros del kernel relacionados con fallos en subsistemas criptográficos o errores de página. Audite históricos de sudo, auth.log y dmesg, y tenga preparados procedimientos de contención que incluyan aislamiento de hosts comprometidos, análisis forense y restauración desde imágenes confiables si se confirma una intrusión.
Este incidente vuelve a poner de manifiesto la rapidez con la que una PoC pública puede transformarse en campaña de explotación real y la necesidad de ciclo de parcheo ágil. Organizaciones con despliegues sensibles o entornos multiusuario deben tratar la corrección de CVE-2026-31431 como de máxima prioridad y revisar además las lecciones recientes, como la corrección previa de vulnerabilidades de escalada de privilegios en Linux (por ejemplo, CVE-2026-41651), para mejorar procesos internos de gestión de vulnerabilidades y tiempos de respuesta.
En resumen, actúe ahora: identifique sistemas con kernels vulnerables, aplique parches y reinicios según lo recomiende su proveedor, reduzca el acceso local temporalmente y monitoree señales de compromiso. La exposición es amplia y la explotación está ocurriendo; posponer la intervención aumenta el riesgo de incidentes graves y compromisos a nivel de root.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...