Un error en el código criptográfico de Linux desvela una forma rápida para llegar a la raíz

Linux es, para la gran mayoría, el núcleo de todo, gracias al cual, el resto de internet se mantiene operativo. Desde grandes servidores en la nube hasta sistemas de seguridad de un banco, el kernel de Linux es considerado (y así debe de ser) el sistema más protegido del mundo. 

Sin embargo, incluso un sistema como este, que pasa por revisiones muy exhaustivas, puede encontrarse de frente con errores que para muchos no generan grandes problemas. O tal vez sí. 

Recientemente se ha dado a conocer una vulnerabilidad crítica, etiquetada como CVE-2026-31431 y apodada como Copy Fail, que ha estado en el núcleo del sistema desde el año 2017. Se trata de un error en el código encargado de las plantillas criptográficas, específicamente en el módulo authencesn.

Que esto sea tan peligroso es porque permite una "escalada de privilegios locales" (LPE). Esto significa que cualquier usuario que ya tenga un acceso básico al sistema —un empleado con ciertos permisos o una aplicación con pocos privilegios— puede convertirse en un superusuario que tiene control absoluto sobre el hardware y los datos.

Linus Torvalds consigue aligerar el kernel en 138.161 líneas de código para tristeza de unos pocos

Técnicamente, el fallo aprovecha la manera en que Linux gestiona la memoria intermedia. Cuando el kernel carga un programa para ejecutarlo, lee la información de la "caché de páginas" en lugar de acudir directamente al disco duro cada vez, con la idea de ser lo más eficiente posible. Copy Fail permite modificar esa copia en memoria. 

Además, y ya rizando el rizo, al alterar la caché y no el archivo físico en el disco, no se activan los sistemas de defensa.

Copy Fail: un error de cuatro bytes que abre las puertas a una vulnerabilidad tras nueve años en la sombra

El descubrimiento ha venido acompañado de una demostración: un script programado en Python que ocupa menos que un mensaje de texto largo (apenas 732 bytes) y tiene solo diez líneas de código. 

Con ese pequeño programa, investigadores de la empresa Theori han demostrado que se puede tomar el control de casi cualquier distribución de Linux actual. 

Aunque el ataque no se puede hacer de forma remota por sí solo y necesitas estar dentro del sistema para ejecutarlo, lo peor sucede cuando se combinan con otros fallos. 

Los problemas de GitHub desesperan a muchos desarrolladores que comienzan a abandonar la plataforma: "Ya no es un lugar para trabajar en serio"

Por ejemplo, un servidor que aloja cientos de páginas web de distintos clientes. Si un atacante consigue colarse en una de esas webs mediante un fallo normal, podría usar Copy Fail para hacerse con el control de todo el servidor físico y de todos los demás clientes.

Como era de esperar, la respuesta ha sido inmediata. Mientras que distribuciones como Debian, Ubuntu y SUSE han lanzado sus parches de inmediato, Red Hat , en un inicio, dijo que esperaría un poco para arreglarlo. Sin embargo, ante la presión de la comunidad y lo peligroso que es, cambiaron de opinión en cuestión de horas y se sumaron a la oleada de actualizaciones. La vulnerabilidad ha recibido una calificación de 7,8 sobre 10, lo que la sitúa en el nivel de "Severidad Alta".

Ahora la gran pregunta: ¿cómo es que nadie vio esto durante casi una década? La respuesta está en la inteligencia artificial. El investigador Taeyang Lee encontró este fallo con una herramienta de escaneo de código potenciada por IA llamada Xint Code y gracias a esa tecnología mapeando el código línea por línea se pudo encontrar. De otra forma, y teniendo en cuenta la antiguedad, resulta casi imposible para el ser humano.