El código de exploit liberado públicamente para una vulnerabilidad efectivamente sin parches que otorga acceso root a prácticamente todas las versiones de Linux está haciendo sonar las alarmas, mientras los defensores se apresuran a evitar compromisos severos dentro de los centros de datos y en dispositivos personales. La vulnerabilidad y el código de exploit que la aprovecha fueron liberados el miércoles por la noche por investigadores de la firma de seguridad **Theori**, cinco semanas después de haberla divulgado privadamente al equipo de seguridad del kernel de Linux. El equipo parcheó la vulnerabilidad en las versiones 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254), pero pocas de las distribuciones de Linux habían incorporado esas correcciones en el momento en que se liberó el exploit. ## Un Solo Script para Hackearlos a Todos La falla crítica, rastreada como **CVE-2026-31431** y con el nombre CopyFail, es una escalada local de privilegios, una clase de vulnerabilidad que permite a usuarios sin privilegios elevarse a administradores. CopyFail es particularmente severo porque puede ser explotado con una sola pieza de código de exploit —liberada en la divulgación del miércoles— que funciona en todas las distribuciones vulnerables sin modificaciones. Con eso, un atacante puede, entre otras cosas, hackear sistemas multi-inquilino, escapar de contenedores basados en Kubernetes u otros frameworks, y crear pull requests maliciosos que canalizan el código de exploit a través de flujos de trabajo CI/CD. “‘Escalada local de privilegios’ suena seco, así que déjenme desglosarlo”, escribió el investigador Jorijn Schrijvershof el jueves. “Significa: Un atacante que ya tiene alguna forma de ejecutar código en la máquina, incluso como el usuario sin privilegios más aburrido, puede promocionarse a root. Desde allí puede leer cada archivo, instalar backdoors, observar cada proceso y pivotar a otros sistemas”. Schrijvershof agregó que el mismo script de Python que Theori liberó funciona de manera confiable para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. El investigador continuó: *¿Por qué eso importa en infraestructura compartida? Porque “local” cubre mucho terreno en 2026: cada contenedor en un nodo Kubernetes compartido, cada inquilino en un servidor de hosting compartido, cada trabajo CI/CD que ejecuta código de pull request no confiable, cada instancia WSL2 en una laptop con Windows, cada agente de IA contenerizado al que se le da acceso a shell. Todos comparten un kernel de Linux con sus vecinos. Una LPE del kernel colapsa esa frontera.* *La cadena de amenazas realista se ve así. Un atacante explota una vulnerabilidad conocida de un plugin de WordPress y obtiene acceso a shell como www-data. Ejecutan el PoC de copy.fail. Ahora son root en el host. Cada otro inquilino es repentinamente alcanzable, de la manera en que lo describí en este post-mortem de hackeo. La vulnerabilidad no permite al atacante acceder a la caja; cambia lo que sucede en los siguientes diez segundos después de que aterrizan allí.* La vulnerabilidad se origina en una falla lógica de “línea recta” en la crypto API del kernel. Muchos exploits que aprovechan condiciones de carrera y fallas de corrupción de memoria no tienen éxito de manera consistente en diferentes versiones del kernel o distribuciones, y a veces incluso en la misma máquina. Debido a que el código liberado para CopyFail explota una falla lógica, “la confiabilidad no es probabilística, y el mismo script funciona en diferentes distribuciones”, escribieron investigadores de **Bugcrowd**. “Sin ventana de carrera, sin offset del kernel”. CopyFail recibe su nombre porque el proceso de plantilla AEAD authencesn (utilizado para números de secuencia extendidos de IPsec) en realidad no copia los datos cuando debería. En cambio, “usa el buffer de destino del llamador como un bloc de notas, escribe 4 bytes más allá de la región de salida legítima y nunca los restaura”, dijo Theori. “La ‘copia’ de los bytes AAD ESN ‘falla’ en permanecer dentro del buffer de destino”. ## La Peor Vulnerabilidad de Linux en Años Otros expertos en seguridad se hicieron eco de la perspectiva de que CopyFail representa una amenaza seria, y uno dijo que es la “peor vulnerabilidad de tipo ‘hazme root’ en el kernel en tiempos recientes”. La vulnerabilidad de Linux más reciente de este tipo fue Dirty Pipe en 2022 y Dirty Cow en 2016. Ambas vulnerabilidades fueron explotadas activamente en la naturaleza. Los distribuidores de Linux frecuentemente se apegan a versiones de kernel más antiguas y les aplican correcciones retroactivas. No hay indicación en el plazo de divulgación de que Theori haya contactado a los distribuidores. Con el exploit disponible antes de que las distribuciones parcheadas estuvieran disponibles, la divulgación equivale a algo muy similar a la liberación de una vulnerabilidad zero-day, aunque el término más estricto es probablemente “brecha de parche zero-day”. “La organización que realizó la divulgación… hizo un trabajo absolutamente terrible de coordinación de vulnerabilidades”, dijo Will Dormann, analista principal de vulnerabilidades en **Tharros Labs**, en una entrevista. “Lo que me deja perplejo es que en su informe, ambos (A) listan 4 proveedores afectados y (B) le dicen a los lectores que apliquen los parches del proveedor. Pero antes de disparar con la publicación, no se molestaron en ver si ALGUNO de los proveedores que listan REALMENTE TIENE PARCHES. (Ninguno lo tiene)”. Los intentos de contactar a representantes de Theori no tuvieron éxito. Las distribuciones conocidas por haber parcheado la vulnerabilidad incluyen Arch Linux y RedHat Fedora. Aquellas conocidas por haber liberado guías de mitigación en el momento en que esta publicación salió al aire incluyen: * SUSE * Debian Se insta a los usuarios a actualizar sus sistemas inmediatamente y aplicar los parches o mitigaciones disponibles.