Expertos en ciberseguridad alertan sobre los primeros indicios de explotación de la vulnerabilidad Copy Fail de Linux

Hace unos días se informó de una vulnerabilidad crítica, etiquetada como CVE-2026-31431 y apodada como Copy Fail, que ha estado en el núcleo del sistema desde el año 2017. Se trata de un error en el código encargado de las plantillas criptográficas.

Si bien es cierto que, pese a su peligrosidad, parecía que las aguas se habían calmado gracias al parche que lanzaron de forma casi inmediata, atento porque esta historia no ha terminado. 

A modo de pequeño contexto, técnicamente, el fallo aprovecha la manera en que Linux gestiona la memoria intermedia. Cuando el kernel carga un programa para ejecutarlo, lee la información de la "caché de páginas" en lugar de acudir directamente al disco duro cada vez, con la idea de ser lo más eficiente posible. Copy Fail permite modificar esa copia en memoria. 

Ahora bien, apenas se hizo público el error, los equipos de seguridad de las distribuciones más importantes se pusieron manos a la obra para protegerse. 

AMD consigue al fin implementar la compatibilidad con HDMI 2.1 en Linux con la ayuda de Valve

Si bien afirman que no ha sido un trabajo fácil, porque el fallo afectaba a casi todas las versiones del kernel que todavía tienen soporte oficial, desde la veterana 5.10 hasta la moderna 6.12, los parches se han lanzado casi en tiempo récord.

Ya está disponible en las distros más conocidas. Si usas Debian, Ubuntu, AlmaLinux, Fedora o Red Hat, es el momento de que actualices de forma inmediata. Sin duda, es la gran magia de Linux. Si un día se descubre un fallo, al siguiente ya hay un parche. Solo hace falta un comando rápido de actualización y un reinicio.

Sin embargo, lo que parecía una historia con su final feliz, parece que no es así del todo. Copy Fail ya se ha convertido en un arma que los ciberdelincuentes están empezando a usar. La agencia CISA de Estados Unidos ha dado la voz de alarma: ya hay indicios de que este error (bautizado técnicamente como CVE-2026-31431) está siendo explotado en el mundo real.

Claude Mythos hace temblar Europa: el BCE pide a los bancos que se preparen para lo peor

Investigadores han demostrado que se puede tomar el control de casi cualquier distribución de Linux actual

La CISA ha dado un ultimátum de dos semanas a las agencias federales para que cierren este agujero, y el consejo para el resto de usuarios es el mismo: actualiza ya. 

No basta con instalar el parche; en muchos casos, para que el cambio en el kernel sea efectivo, hay que reiniciar la máquina. 

Los expertos recomiendan, además de parchear, revisar los registros de actividad o logs en busca de comportamientos raros. Si ves procesos que no deberían tener permisos elevados haciendo cosas extrañas en la memoria, podrías haber sido una de las víctimas de estos primeros ataques. 

Ahora bien, ¿cómo es que nadie vio esto durante casi una década? La respuesta está en la inteligencia artificial. El investigador Taeyang Lee encontró este fallo con una herramienta de escaneo de código potenciada por IA llamada Xint Code y gracias a esa tecnología mapeando el código línea por línea se pudo encontrar. De otra forma, y teniendo en cuenta la antiguedad, resulta casi imposible para el ser humano.