Una grave vulnerabilidad de seguridad que afecta a casi todas las versiones del sistema operativo Linux ha tomado a los defensores con la guardia baja y luchando por parchear después de que investigadores de seguridad publicaron un código de explotación que permite a los atacantes tomar el control total de los sistemas vulnerables.
El gobierno de EE.UU. dice que el error, denominado «CopyFail», ahora está siendo explotado en la naturaleza, lo que significa que se está utilizando activamente en campañas de piratería maliciosas.
El error, oficialmente rastreado como CVE-2026-31431 y descubierto en las versiones 7.0 y anteriores del kernel de Linux, fue revelado al equipo de seguridad del kernel de Linux a finales de marzo y parcheado después de aproximadamente una semana. Pero los parches aún no han llegado completamente a las muchas distribuciones de Linux que dependen del kernel vulnerable, lo que deja a cualquier sistema que ejecute una versión de Linux afectada en riesgo de verse comprometido.
Linux se usa ampliamente en entornos empresariales y ejecuta las computadoras que operan gran parte de los centros de datos del mundo.
El sitio web CopyFail dice que el mismo script corto de Python «raíza todas las distribuciones de Linux enviadas desde 2017». Según la empresa de seguridad Theori, que descubrió CopyFail, la vulnerabilidad se verificó en varias versiones de Linux ampliamente utilizadas, incluidas Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 y SUSE 16.
El ingeniero y desarrollador de DevOps, Jorijn Schrijvershof, escribió en una publicación de blog que el exploit funciona en las versiones de Debian y Fedora, así como en Kubernetes, que se basa en el kernel de Linux. Schrijvershof describió el error como si tuviera un “radio de explosión inusualmente grande”, ya que funciona en “casi todas las distribuciones modernas” de Linux.
El error se llama CopyFail porque el componente afectado en el kernel de Linux, el núcleo del sistema operativo que tiene acceso prácticamente completo a todo el dispositivo, no copia ciertos datos cuando debería. Esto corrompe datos confidenciales dentro del kernel, lo que permite al atacante aprovechar el acceso del kernel al resto del sistema, incluidos sus datos.
Si se explota, el error es particularmente problemático porque permite que un usuario normal con acceso limitado obtenga acceso completo de administrador en un sistema Linux afectado. Un compromiso exitoso de un servidor en un centro de datos podría permitir a un atacante obtener acceso a todas las aplicaciones, servidores y bases de datos de numerosos clientes corporativos y, potencialmente, obtener acceso a otros sistemas en la misma red o centro de datos.
El error CopyFail no se puede explotar a través de Internet por sí solo, pero puede convertirse en un arma si se utiliza junto con un exploit que funcione a través de Internet. Según Microsoft, si el error CopyFail se combina con otra vulnerabilidad que se puede transmitir a través de Internet, un atacante podría usar la falla para obtener acceso raíz a un servidor afectado. Un usuario que opera una computadora Linux con un kernel vulnerable también podría ser engañado para que abra un enlace o archivo adjunto malicioso que desencadene la vulnerabilidad.
El error también podría inyectarse mediante ataques a la cadena de suministro, en los que actores maliciosos piratean la cuenta de un desarrollador de código abierto e introducen el malware en su código para comprometer una gran cantidad de dispositivos de una sola vez.
Dado el riesgo para la red empresarial federal, la agencia de ciberseguridad estadounidense CISA ha ordenado a todas las agencias federales civiles que parcheen los sistemas afectados antes del 15 de mayo.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
