Expertos en ciberseguridad localizan un error en Linux "dormido" durante 16 años y alertan: "Todo apunta a que saldrán a la luz más errores de 10 y 15 años de antigüedad en los próximos meses"

Error en Linux "dormido" durante 16 años
Error en Linux "dormido" durante 16 añosGenerada con IA / Computer Hoy

El sistema operativo del pingüino acaba de sufrir una de las vulnerabilidades más graves de su historia reciente por un fallo en el sistema KVM.

Un investigador acaba de descubrir un fallo en el kernel de Linux que llevaba nada menos que 16 años escondido. El agujero de seguridad, bautizado como Januscape, se ha registrado de forma oficial con el código CVE-2026-53359.

En cuanto a su peligrosidad, lo cierto es que no hablamos de algo precisamente inocente. Permite a un atacante llevar a cabo algo muy peligroso: una fuga de máquina virtual (VM escape). Esto significa que un hacker puede romper la barrera de protección que separa a un usuario de otro dentro de un mismo servidor en la nube y tomar el control total de la máquina central.

La vulnerabilidad fue encontrada por el experto en ciberseguridad Hyunwoo Kim, que demostró cómo aprovechar este error dentro del hipervisor KVM de Linux. 

Este componente es el que precisamente usan grandes empresas tecnológicas como Microsoft, centros de datos y empresas de alojamiento web para dividir un ordenador gigante en cientos de ordenadores virtuales más pequeños para sus clientes. 

Al romper esta barrera, el fallo ataca a la base, afectando por igual a los servidores que funcionan con procesadores de las marcas Intel y AMD.

"Una fuga de máquina virtual permite a un atacante salir de su entorno de cliente y comprometer el sistema central que aloja todo", explica Jason Soroko, miembro de la firma Sectigo. El experto comenta que esto supone una amenaza enorme para la nube, ya que una sola cuenta hackeada puede dar permisos de administrador sobre el servidor físico. 

Como resultado, lo que este puede hacer va desde provocar una caída total del servidor o, en el peor de los casos, leer y robar los datos confidenciales de los vecinos.

Por otro lado, Robert Coles, ingeniero de ciberseguridad en Black Duck, comenta que estos fallos llaman tanto la atención porque rompen la regla de oro de la virtualización: el aislamiento. "En la mayoría de los casos, si un hacker entra en una máquina virtual, el daño se queda bloqueado ahí dentro y no sale, pero este error lo cambia todo", explica. 

Añade que, una vez que el atacante llega a la raíz del servidor, ya no está atacando de lleno a un solo usuario, sino que tiene acceso a toda la infraestructura y datos de decenas de empresas distintas.

¿Qué es el error CVE-2026-53359 en Linux y cómo afecta a la seguridad de las empresas que usan la nube?

Toca remontarse hasta 2010, cuando esta parte de código se metió dentro del sistema operativo. Hablamos de código realmente antiguo, por lo que hay cierta posibilidad de que, en la actualidad, este no tenga sentido para una compañía a la hora de diseñar su tecnología.

Sin embargo, cuando se activa la virtualización anidada (es decir, cuando arrancas una máquina virtual dentro de otra máquina virtual), el sistema se ve obligado a usar este código.

Al ser una función opcional que casi nadie tocaba, este código ha pasado 16 años escondido, en el olvido, sin que ningún desarrollador se parase a revisarlo

Pero, teniendo en cuenta que se están encontrando otros fallos de código antiguo en Linux, que los hackers cada vez son más inteligentes, que la inteligencia artificial ayuda mucho a los ingenieros y que las empresas pagan auténticas millonadas para que les encuentren fallos, resulta demasiado jugoso como para, al menos, echar un vistazo. 

Por eso, el director de Suzu Labs avisa de lo siguiente: "Todo apunta a que saldrán a la luz más errores de 10 y 15 años de antigüedad en los próximos 12 o 18 meses a medida que los análisis automáticos por ordenador lleguen a zonas de código que los humanos no han tocado desde el día en que se escribieron".

Ver sus artículos

Carolina González

Redactora

Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.