Una vulnerabilidad de seguridad crítica que afecta a casi todas las versiones del sistema operativo Linux ha dejado a los defensores cibernéticos luchando por aplicar parches después de que investigadores de seguridad publicaran código de explotación que permite a los atacantes tomar control total de sistemas vulnerables. El gobierno de Estados Unidos confirmó que el fallo, denominado “CopyFail”, ya está siendo explotado activamente en campañas de hackeo malicioso, según informó la agencia de ciberseguridad CISA.
El error, oficialmente rastreado como CVE-2026-31431, fue descubierto en versiones del kernel de Linux 7.0 y anteriores. Fue divulgado al equipo de seguridad del kernel de Linux a finales de marzo y parcheado aproximadamente una semana después. Sin embargo, las actualizaciones de seguridad aún no se han distribuido completamente a las numerosas distribuciones de Linux que dependen del kernel vulnerable, dejando en riesgo cualquier sistema que ejecute una versión afectada.
Impacto de la vulnerabilidad CopyFail en entornos empresariales
Linux es ampliamente utilizado en entornos empresariales, operando las computadoras que gestionan gran parte de los centros de datos del mundo. La magnitud del problema es considerable, ya que el mismo script corto de Python “otorga acceso root a cada distribución de Linux distribuida desde 2017”, según indica el sitio web oficial de CopyFail.
De acuerdo con la firma de seguridad Theori, que descubrió la vulnerabilidad, el fallo fue verificado en varias versiones ampliamente utilizadas de Linux, incluyendo Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 y SUSE 16. Además, el ingeniero DevOps Jorijn Schrijvershof escribió en una publicación que el exploit funciona en versiones de Debian y Fedora, así como en Kubernetes, que depende del kernel de Linux.
Alcance técnico del fallo
Schrijvershof describió el error como uno con un “radio de impacto inusualmente grande” porque funciona en “casi todas las distribuciones modernas” de Linux. El fallo recibe el nombre de CopyFail porque el componente afectado en el kernel de Linux, el núcleo del sistema operativo que tiene acceso virtualmente completo a todo el dispositivo, no copia ciertos datos cuando debería hacerlo.
Esta falla corrompe datos sensibles dentro del kernel, permitiendo al atacante aprovechar el acceso del kernel al resto del sistema, incluidos sus datos. Si se explota exitosamente, el error permite a un usuario regular con acceso limitado obtener privilegios de administrador completo en un sistema Linux afectado.
Métodos de explotación de la vulnerabilidad en sistemas Linux
Una compromisión exitosa de un servidor en un centro de datos podría permitir a un atacante acceder a cada aplicación, servidor y base de datos de numerosos clientes corporativos, y potencialmente obtener acceso a otros sistemas en la misma red o centro de datos. Sin embargo, el fallo CopyFail no puede explotarse por internet de manera independiente.
Según Microsoft, si la vulnerabilidad CopyFail se encadena con otra vulnerabilidad que pueda entregarse por internet, un atacante podría usar el fallo para obtener acceso root a un servidor afectado. Adicionalmente, un usuario que opere una computadora Linux con un kernel vulnerable podría ser engañado para abrir un enlace o archivo adjunto malicioso que active la vulnerabilidad.
El error también podría inyectarse mediante ataques a la cadena de suministro, en los cuales actores maliciosos hackean la cuenta de un desarrollador de código abierto e implantan el malware en su código para comprometer un gran número de dispositivos de una sola vez.
Respuesta gubernamental y plazos de remediación
Dado el riesgo para la red empresarial federal, la agencia de ciberseguridad estadounidense CISA ha ordenado a todas las agencias federales civiles parchear cualquier sistema afectado antes del 15 de mayo. Esta directiva subraya la gravedad de la amenaza y la urgencia de implementar las actualizaciones de seguridad disponibles.
Los administradores de sistemas deberán verificar las versiones de kernel instaladas y aplicar los parches correspondientes según estén disponibles para sus distribuciones específicas. La coordinación entre proveedores de Linux y organizaciones será crucial para minimizar la ventana de exposición mientras las actualizaciones se distribuyen completamente a través del ecosistema.