Vulnerabilidad Copy Fail en Linux, qué es, cómo funciona y qué debes hacer para protegerte

Desde hace ya unos días, un problema detectado en Linux está provocando un pequeño caos. En concreto, se ha descubierto un fallo bautizado como Copy Fail que llevaba dentro del kernel de Linux desde 2017. Pese al trabajo continuo de todos aquellos programadores que se dedican a mantener el sistema limpio y seguro, este error ha pasado totalmente desapercibido para los expertos.

La vulnerabilidad, identificada de forma técnica como CVE-2026-31431, es lo que los informáticos llaman un fallo de lógica. De forma simple, no es que el sistema se haya roto, es que hace algo que no debería bajo unas condiciones muy concretas. 

En este caso, el problema está en cómo Linux actúa ante ciertas funciones de criptografía. Si alguien sabe cómo engañar a esta función enviándole datos de una forma específica, puede conseguir que el kernel sobrescriba partes de la memoria. Con solo cambiar 4 bytes en el lugar correcto, un usuario normal puede convertirse en superusuario y tener poder absoluto.

Aunque ya se comentó que el ataque no se puede hacer de forma remota por sí solo y necesitas estar dentro del sistema para ejecutarlo, lo peor sucede cuando se combinan con otros fallos. Por ejemplo, si un atacante consigue colarse en una de esas webs mediante un fallo normal, podría usar Copy Fail para hacerse con el control de todo el servidor físico y de todos los demás clientes.

Los investigadores de la empresa Theori, que fueron quienes encontraron el fallo usando inteligencia artificial (de otra forma, y teniendo en cuenta la antiguedad, resulta casi imposible para el ser humano), demostraron que basta con un script de Python de apenas 732 bytes. 

Para que te hagas una idea, ese código ocupa menos que una foto de perfil de WhatsApp. Con ejecutar ese pequeño archivo, el sistema te entrega un acceso total a todo.

Además, este ataque es especialmente complejo de identificar. El script no toca los archivos que tienes guardados en el disco duro, sino que corrompe su copia en la memoria RAM. Esto significa que si tienes un programa de seguridad que escanea tus archivos, no encontrará nada. 

Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16 cayeron ante el mismo script de 732 bytes

Afecta a todos por igual. Si el kernel es vulnerable, el atacante puede hacer lo que quiera donde quiera. Esto ha provocado que la agencia CISA de Estados Unidos dé la voz de alarma. Afirma que ya hay indicios de que este error (bautizado técnicamente como CVE-2026-31431) está siendo explotado en el mundo real.

Ha dado un ultimátum de dos semanas a las agencias federales para que cierren este agujero.,

Pese a todo esto, si eres un usuario normal que tiene Linux en su portátil el riesgo es calificado como bajo. Para que te afecte, tendrías que haber instalado primero algún malware que ya estuviera en tu PC. Aun así, nadie quiere tener una puerta trasera abierta. 

De ahí que los parches hayan corrido como la pólvora. Ya está disponible en las distros más conocidas. Si usas Debian, Ubuntu, AlmaLinux, Fedora o Red Hat, es el momento de que actualices de forma inmediata. Sin duda, es la gran magia de Linux. Si un día se descubre un fallo, al siguiente ya hay un parche.

Eso sí, muy importante también llevar a cabo un reinicio de PC. Los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. 

Si por algún casual ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques.