Una nueva vulnerabilidad del kernel de Linux, registrada como CVE-2026-31431 y apodada Copy Fail, ha puesto en alerta a administradores de servidores en todo el mundo. El fallo se hizo público ayer 29 de abril por Xint/Theori y permite que un usuario local sin privilegios pueda elevar permisos hasta root en sistemas vulnerables. Aunque no se trata de un ataque remoto por sí solo, sí puede ser eficaz en una intrusión previa o ejecución de código no confiable.

Qué es Copy Fail

Copy Fail afecta al subsistema criptográfico del kernel de Linux. Según los responsables de su hallazgo, afecta a “la interfaz algif_aead, relacionada con operaciones AEAD accesibles desde espacio de usuario”. El análisis realizado por Xint/Theori describe el fallo como “un bug lógico en authencesn que permite una escritura controlada de 4 bytes en la page cache, la memoria donde Linux mantiene copias rápidas de archivos”.

Uno de los grandes problemas de la alteración y que le ha permitido pasar desapercibida durante tantos años es que no modifica el archivo en disco, lo que dificulta detectarla con comprobaciones tradicionales de integridad basadas solo en hashes del sistema de archivos.

No abre la puerta desde Internet, pero el riesgo es alto

La clave de esta vulnerabilidad CVE-2026-31431 es que requiere ejecución local y eso es un gran alivio para muchos administradores de sistemas. Esto implica que el atacante necesita una cuenta, un proceso dentro de un contenedor, un job de CI o algún mecanismo para ejecutar código en la máquina.

No obstante, eso no elimina por completo el riesgo. De hecho, Red Hat describe el fallo como “un problema en algif_aead causado por una operación “in-place” incorrecta.” Por todo ello, el riesgo el mayor en servidores compartidos, entornos de desarrollo, clústeres Kubernetes, runners de GitHub Actions, GitLab o Jenkins y servicios cloud que ejecutan código de usuarios.

Los administradores deben priorizar los sistemas que ejecutan código de terceros o usuarios no confiables. La medida principal para solucionar el problema pasa por actualizar el kernel a una versión corregida por la distribución. No basta con mirar la versión general de Linux, porque muchas distribuciones aplican parches de seguridad. Lo suyo es revisar los diferentes boletines de seguridad de Ubuntu, Debian, Red Hat, SUSE, Amazon Linux u otra distribución utilizada. La solución temporal sería limitar o desactivar el acceso al módulo vulnerable cuando no sea necesario.

Copy Fail no es un fallo remoto universal, pero sí una vulnerabilidad importante para infraestructuras modernas. Su gravedad es que permite convertir un acceso local limitado en una posible escalada a root. La prioridad del mundo Linux debe ser actualizar el kernel y revisar sistemas con usuarios compartidos.