Volver a 20MINUTOS.ES

¿Qué es Copy Fail,la vulnerabilidad de Linux que ha provocado que los responsables del kernel quieran crear un "botón del pánico"?

Qué es Copy Fail
Qué es Copy FailGenerada con IA / Computer Hoy
Ciberseguridad
Noticia
Carolina González

Linux no está atravesando una buena racha en estos meses de 2026 y todo ha comenzado tras descubrir una vulnerabilidad que llevaba en el kernel desde 2017. Su nombre: Copy Fail.

Linux siempre ha presumido de ser uno de los sistemas operativos más seguros del mundo. No importa si hablamos de servidores, superordenadores, móviles Android o infraestructuras: gran parte de Internet funciona gracias al kernel Linux. Precisamente por eso, cuando aparece una vulnerabilidad importante, todo el mundo se alarma y se pone manos a la obra para cerrar esta brecha.

En las últimas semanas, el nombre de Copy Fail ha sonado bastante. Hablamos de un problema detectado en Linux que está provocando un pequeño caos. En concreto, se ha descubierto un fallo bautizado como Copy Fail que llevaba dentro del kernel de Linux desde 2017

Pese al trabajo continuo de todos aquellos programadores que se dedican a mantener el sistema limpio y seguro, este error ha pasado totalmente desapercibido para los expertos.

La vulnerabilidad, identificada de forma técnica como CVE-2026-31431, es lo que los informáticos llaman un fallo de lógica. De forma simple, no es que el sistema se haya roto, es que hace algo que no debería bajo unas condiciones muy concretas.

¿Qué es CopyFail?

CopyFail es el nombre informal de una vulnerabilidad del kernel de Linux identificada como CVE-2026-31431, vinculada al subsistema criptográfico y, en concreto, a la interfaz algif_aead. De forma simple, se trata de un fallo lógico en el manejo de ciertas operaciones que permite a un atacante provocar una escalada de privilegios hasta root.

Este precisamente es su gran peligro. Permite una "escalada de privilegios locales" (LPE). Esto significa que cualquier usuario que ya tenga un acceso básico al sistema —un empleado con ciertos permisos o una aplicación con pocos privilegios— puede convertirse en un superusuario que tiene control absoluto sobre el hardware y los datos.

Técnicamente, el fallo aprovecha la manera en que Linux gestiona la memoria intermedia. Cuando el kernel carga un programa para ejecutarlo, lee la información de la "caché de páginas" en lugar de acudir directamente al disco duro cada vez, con la idea de ser lo más eficiente posible. Copy Fail permite modificar esa copia en memoria.

Además, y ya rizando el rizo, al alterar la caché y no el archivo físico en el disco, no se activan los sistemas de defensa.

NVIDIA sorprende hasta en Linux
NVIDIA sorprende hasta en Linux: quiere romper el dominio de AMD e Intel con una CPU ARM de 88 núcleos

Un error de cuatro bytes que abre las puertas a una vulnerabilidad tras nueve años en la sombra

El descubrimiento ha venido acompañado de una demostración: un script programado en Python que ocupa menos que un mensaje de texto largo (apenas 732 bytes) y tiene solo diez líneas de código.

Con ese pequeño programa, investigadores de la empresa Theori han demostrado que se puede tomar el control de casi cualquier distribución de Linux actual.

Aunque el ataque no se puede hacer de forma remota por sí solo y necesitas estar dentro del sistema para ejecutarlo, lo peor sucede cuando se combinan con otros fallos.

Por ejemplo, un servidor que tiene cientos de páginas web de distintos clientes. Si un atacante consigue colarse en una de esas webs mediante un fallo normal, podría usar Copy Fail para hacerse con el control de todo el servidor físico y de todos los demás clientes.

Sin ir más lejos, la agencia CISA de Estados Unidos desde un primer momento dio la voz de alarma, afirmando que hubo indicios de que este error fue explotado en el mundo real.

Usuarios Linux de FPGA estallan contra AMD
Los usuarios Linux de FPGA estallan contra AMD: este software gratuito será solo cosa de Windows

Apenas se hizo público el error, los equipos de seguridad de las distribuciones más importantes se pusieron manos a la obra para protegerse

Por suerte, la comunidad de Linux reacciona a una velocidad increíble. En cuanto se enteraron de la gravedad del asunto, los equipos de las versiones más conocidas de Linux (lo que los informáticos llaman distros) se pusieron a trabajar día y noche para tapar el agujero.

A día de hoy, las versiones más famosas como Ubuntu, Red Hat, Debian y Fedora ya han sacado la solución. Si usas Linux en tu ordenador o usas servidores en tu trabajo, el consejo es muy simple: actualiza ya. Un par de clics para instalar los últimos parches de seguridad te van a ahorrar un disgusto enorme.

Los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. Si ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques.

Microsoft Copilot.
Microsoft quiere detener el "efecto Linux" y facilitará la eliminación de Copilot en Windows 11

El "botón de pánico": la idea en Linux para que esto no vuelva a pasar

Lo cierto es que esta no ha sido la única vulnerabilidad descubierta en 2026. El problema no es solo que existan fallos, sino que, una vez que se hacen públicos, los hackers corren más que las empresas que deben arreglarlos, dejando millones de servidores expuestos durante días.

Con esto como base, los desarrolladores han dicho basta y Sasha Levin, uno de los pesos pesados del mantenimiento del kernel de Linux, ha propuesto activar un Killswitch o botón del pánico.

La idea es que, si mañana aparece un fallo crítico en una función específica del sistema, el administrador pueda darle a un interruptor virtual y desactivar esa función al momento, sin esperar a que salga una actualización oficial y, lo más importante, sin tener que reiniciar el ordenador. Es, literalmente, cortar por lo sano para evitar que el problema se siga esparciendo por el kernel.

Esto es algo básico que se debería empezar a hacer de cara a proteger a las empresas que tienen muchos ordenadores con Linux. Por ejemplo, en una empresa con 10.000 servidores, actualizar el kernel y reiniciar cada máquina puede durar días.

Nueva compatibilidad en PS5-Linux
Ya puedes instalar y jugar con Linux en más versiones de PlayStation 5

Durante todo ese tiempo, la ventana está abierta para los hackers. Con el Killswitch, el administrador lanza un comando y, en segundos, todos quedan protegidos frente a ese ataque. No es la solución definitiva, ya que es vital crear un parche, pero actúa como un perfecto cortafuegos.

Por supuesto, todo tiene una cara B y desactivar funciones del sistema puede romper otras. Si apagas el motor de red para evitar un hackeo, podrías quedarte sin internet. Pero Levin argumenta que es mejor tener una función estropeada temporalmente que tener a un hacker accediendo a todo.

Actualmente, esta propuesta está en fase de revisión y se está debatiendo entre los desarrolladores más expertos de Linux para ver si realmente tiene o no futuro. Como suele ocurrir si hablamos de este SO, no todos están de acuerdo, ya que tocar el núcleo del sistema siempre da respeto,. Sin embargo, parece que el apoyo es mayoritario.

Más información sobre:

Ver sus artículos

Carolina González

Redactora

Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.