Cada cierto tiempo aparece una vulnerabilidad que obliga a mirar la infraestructura con más humildad. Copy Fail, registrada como CVE-2026-31431, es una de ellas. No porque sea el primer fallo grave del kernel Linux, ni porque Linux deje de ser una base sólida para servidores, cloud, contenedores y sistemas críticos. Lo importante de este caso es lo que nos recuerda: hay muchos más errores esperando a ser descubiertos en capas que usamos todos los días y damos por sentadas.
Copy Fail permite a un usuario local sin privilegios escalar a root mediante un fallo lógico en el subsistema criptográfico del kernel Linux. La vulnerabilidad afecta a kernels derivados de cambios introducidos desde 2017 y se apoya en una interacción delicada entre AF_ALG, splice() y la caché de páginas. En las pruebas publicadas por Theori/Xint Code, una prueba de concepto muy pequeña lograba obtener root en distribuciones ampliamente usadas. CERT-EU la clasificó como una escalada local de privilegios de severidad alta, con una puntuación CVSS 3.1 de 7,8.
No estamos hablando de un ataque remoto que atraviese Internet por sí solo. Hace falta ejecución local o acceso a una cuenta dentro del sistema. Pero en 2026 esa distinción ya no tranquiliza tanto. Muchos servidores ejecutan contenedores, runners de CI/CD, cargas de terceros, entornos multiusuario, paneles de hosting, plataformas SaaS o procesos expuestos a cadenas de ataque más largas. Cuando un atacante consigue entrar con pocos permisos, el siguiente paso casi siempre es buscar una vía para convertirse en root.
Los bugs peligrosos no siempre hacen ruido
Lo más interesante de Copy Fail no es solo su impacto técnico, sino su origen. No parece el típico error burdo que salta a la vista en una revisión superficial. Es el resultado de una combinación de decisiones técnicas que, por separado, podían parecer razonables. Una optimización aquí, una ruta de datos allá, una interacción poco habitual entre subsistemas. Años después, alguien une las piezas y aparece una primitiva de escritura en memoria con consecuencias muy serias.
Esto ocurre más de lo que nos gusta admitir. Los sistemas modernos son demasiado complejos como para pensar que todo lo importante ya ha sido revisado. Linux, OpenSSL, Kubernetes, hipervisores, firmwares, bibliotecas de compresión, sistemas de backup, agentes de monitorización, controladores de red, appliances y plataformas cloud acumulan años de capas, parches, optimizaciones y compatibilidad hacia atrás. La seguridad real no consiste en creer que no hay fallos, sino en asumir que algunos existen y diseñar la infraestructura para resistir cuando se descubran.
Copy Fail tiene además un punto especialmente incómodo: el ataque puede alterar la caché de páginas en memoria sin modificar de forma persistente el archivo en disco. Eso limita la utilidad de algunas herramientas clásicas de integridad basadas en comparar ficheros almacenados. Cloudflare, por ejemplo, explicó que podía detectar patrones de explotación mediante señales de comportamiento, pero ese tipo de respuesta exige visibilidad, telemetría y equipos preparados.
El caso también es relevante para contenedores. La caché de páginas se comparte a nivel de host, así que un contenedor comprometido puede convertirse en una vía para afectar al nodo completo si el kernel es vulnerable. Esta idea debería estar siempre presente en arquitecturas cloud, Docker y Kubernetes: un contenedor no es una máquina virtual. Aísla mucho, pero no convierte el kernel compartido en una frontera infranqueable.
La Inteligencia Artificial ayuda, también a encontrar lo que no vemos
Theori explicó que el hallazgo fue asistido por Xint Code, su herramienta de análisis con Inteligencia Artificial. Este detalle se ha usado en algunos titulares como si la IA hubiera encontrado sola una vulnerabilidad crítica en una hora. Yo lo leería con más calma. La IA puede acelerar muchísimo la revisión de código, sugerir rutas de análisis, correlacionar patrones y ayudar a mirar zonas que un equipo humano tardaría mucho más en cubrir. Pero sigue haciendo falta criterio experto para orientar la búsqueda, validar el impacto y construir una explotación fiable.
Aun así, el mensaje de fondo es potente. Si la Inteligencia Artificial ayuda a los defensores a encontrar vulnerabilidades, también ayudará a atacantes, brokers de exploits, grupos criminales y equipos ofensivos de Estados. La diferencia estará en quién integra antes estas herramientas en procesos serios: auditoría continua, análisis de dependencias, revisión de código, hardening, detección y respuesta.
Esto no significa que debamos entrar en pánico. Significa que la ciberseguridad ya no puede tratarse como una actividad puntual. No basta con pasar una auditoría anual, instalar un antivirus o aplicar parches cuando “haya ventana”. Los fallos dormidos existen. Algunos llevan años en producción. Otros están en componentes que nadie mira porque funcionan bien desde hace demasiado tiempo.
La respuesta tiene que ser más disciplinada. Inventario real de activos. Parches probados y aplicados con agilidad. Segmentación. Mínimo privilegio. MFA. Monitorización con señales útiles. Gestión de vulnerabilidades. Pruebas de restauración. Copias offline o inmutables. Entornos separados. Reducción de superficie de ataque. Y, sobre todo, una cultura en la que actualizar sistemas críticos no sea una molestia administrativa, sino una tarea central de continuidad de negocio.
Backups, resiliencia y una idea incómoda: el parche no siempre llega a tiempo
Copy Fail también sirve para recordar que el parcheo, por importante que sea, no es suficiente. Siempre habrá una ventana entre el descubrimiento, la publicación, la disponibilidad de paquetes para cada distribución, las pruebas internas y el reinicio de producción. En esa ventana, las defensas por capas marcan la diferencia.
Los backups entran aquí con mucha fuerza. No porque Copy Fail sea una vulnerabilidad pensada para destruir datos, sino porque cualquier escalada a root puede acabar en cifrado, borrado, sabotaje o persistencia. Si un atacante consigue privilegios máximos en un servidor, puede intentar eliminar snapshots, modificar scripts de copia, acceder a credenciales, moverse lateralmente o preparar un ataque posterior. Por eso los backups no deben ser simplemente “copias que existen”. Deben ser copias protegidas, separadas, probadas y recuperables.
En infraestructura profesional, una buena estrategia debería combinar copias frecuentes, retención adecuada, almacenamiento inmutable, separación de credenciales, restauraciones verificadas y escenarios de recuperación documentados. La pregunta no es si tenemos backup. La pregunta es si podríamos recuperar sistemas críticos si el atacante ya hubiera conseguido root en parte de la infraestructura.
También conviene revisar cómo tratamos los entornos de laboratorio, desarrollo y CI/CD. Muchas intrusiones no empiezan en el servidor más crítico, sino en un runner con demasiados permisos, una clave expuesta, una imagen de contenedor vulnerable o un sistema secundario que nadie parchea con la misma prioridad. A partir de ahí, una vulnerabilidad local puede convertirse en escalada, movimiento lateral y compromiso de activos más valiosos.
No hay infraestructura perfecta. Quien prometa seguridad absoluta está vendiendo humo. Lo que sí podemos construir son sistemas más difíciles de comprometer, más fáciles de detectar y más rápidos de recuperar. Copy Fail nos recuerda que incluso una base tan madura como Linux puede esconder fallos profundos durante años. La Inteligencia Artificial hará que encontremos más. Algunos los encontrarán investigadores responsables. Otros no.
La conclusión, para mí, es clara: viene una etapa en la que aparecerán más vulnerabilidades de este tipo, no menos. No porque el software sea peor, sino porque tenemos mejores herramientas para mirar dentro de él. Eso debería empujarnos a invertir más en ciberseguridad, no a confiar ciegamente en que “si algo lleva años funcionando, estará bien”.
Preguntas frecuentes
¿Qué es Copy Fail?
Copy Fail es el nombre de CVE-2026-31431, una vulnerabilidad de escalada local de privilegios en el kernel Linux que afecta al módulo algif_aead del subsistema criptográfico.
¿Por qué es importante si requiere acceso local?
Porque muchos ataques empiezan con permisos limitados. En servidores con contenedores, usuarios, runners de CI/CD o cargas no confiables, una escalada local puede permitir comprometer el nodo completo.
¿La Inteligencia Artificial descubrió la vulnerabilidad?
Theori indicó que el hallazgo fue asistido por su herramienta Xint Code. La IA ayudó en el análisis, pero el criterio humano siguió siendo esencial para orientar, validar y divulgar el fallo.
¿Qué deberían hacer las empresas?
Actualizar kernels, priorizar sistemas con cargas no confiables, aplicar mitigaciones temporales si no pueden parchear, revisar detecciones y reforzar backups inmutables, segmentación, mínimo privilegio y pruebas de recuperación.
Si no puedes ver bien esta newsletter de Carrero haz click aquí
Mi cuenta @carrero ha sido suspendida por "inautenticidad": lo que ha pasado y por qué pido una revisión en X
Retomando mi boletín con el número 3, el anterior fue en 2017!
Así que aunque soy pocos lo que haré es en el boletín número 5 es eliminar a todos los usuarios que no abrieron o hicieron clic en algún enlace para limpiar la lista.
X bloquea mi cuenta por Spam y la razón es la autenticidad...
Parece una broma pero no, dependemos de redes sociales que bloquean perfiles reales antes que los bots que nos inundan de spam, phising, engaños, etc.
Hace unos días me encontré con una situación tan absurda como preocupante: X (antes Twitter) ha suspendido mi cuenta personal @carrero por presunto "incumplimiento de las reglas relativas a la autenticidad". Soy suscriptor Premium, llevo años usando esa cuenta para comunicarme a nivel personal y profesional, y puedo acreditar mi identidad sin ningún problema. Adjunto la captura que me ha enviado la propia plataforma para documentar el caso.
Más abajo podéis la captura del email que me envió X, ya envié una primera apelación rápida, y espero respuesta, pero son 24-48 horas o lo que ellos estimen. Menos mal que no vivo de X/Twitter.
Estás recibiendo este email por estar suscrito a mi boletín de carrero.es, igual hace años que te diste de alta porque llevo sin escribir desde 2017, si deseas darte de baja haz clic aquí.
Te escribí hace unos días pero no he recibido respuesta, así que quise intentarlo una última vez. Te estuve contactando para que exploremos la posibilidad de que escribas un post sobre WordPress e incluyas un enlace.
Puedes ver mi mensaje inicial abajo para obtener más detalles de mi propuesta.
Saludos,
Diana
On Thu, May 3, 2018 at 3:40 PM, Diana L. <diana@hostinger.com> wrote:
Hola ,
Te escribí hace unos días pero no he recibido respuesta. Te estuve contactando para que exploremos la oportunidad de que escribas un post sobre WordPress e incluyas un enlace a nuestro tutorial.
Abajo puedes revisar mi mensaje anterior para ver más detalles de mi propuesta.
Saludos,
Diana
On Fri, Apr 27, 2018 at 3:59 PM, Diana L. <diana@hostinger.com> wrote:
Hola ,
Soy Diana y trabajo con Hostinger, un reconocido proveedor de alojamiento web a nivel internacional. Encontré tu post http://mundo-de-internet.blogspot.com/2011/04/carrero.html y estoy realmente interesada en trabajar contigo para crear un artículo sobre un tema general en el cual puedas hacer una referencia a nuestro muy completo tutorial sobre cómo hacer un blog ( https://www.hostinger.mx/tutoriales/como-hacer-un-blog-con-wordpress/).
A cambio mi equipo está listo para compensar tu tiempo y esfuerzo, así como cualquier otra ayuda que necesites.
Avísame si te interesa para que podamos analizar esto más a fondo.
Saludos,
Diana Castillo Hostinger International www.hostinger.mx
Te escribí hace unos días pero no he recibido respuesta. Te estuve contactando para que exploremos la oportunidad de que escribas un post sobre WordPress e incluyas un enlace a nuestro tutorial.
Abajo puedes revisar mi mensaje anterior para ver más detalles de mi propuesta.
Saludos,
Diana
On Fri, Apr 27, 2018 at 3:59 PM, Diana L. <diana@hostinger.com> wrote:
Hola ,
Soy Diana y trabajo con Hostinger, un reconocido proveedor de alojamiento web a nivel internacional. Encontré tu post http://mundo-de-internet.blogspot.com/2011/04/carrero.html y estoy realmente interesada en trabajar contigo para crear un artículo sobre un tema general en el cual puedas hacer una referencia a nuestro muy completo tutorial sobre cómo hacer un blog ( https://www.hostinger.mx/tutoriales/como-hacer-un-blog-con-wordpress/).
A cambio mi equipo está listo para compensar tu tiempo y esfuerzo, así como cualquier otra ayuda que necesites.
Avísame si te interesa para que podamos analizar esto más a fondo.
Saludos,
Diana Castillo Hostinger International www.hostinger.mx
Soy Diana y trabajo con Hostinger, un reconocido proveedor de alojamiento web a nivel internacional. Encontré tu post http://mundo-de-internet.blogspot.com/2011/04/carrero.html y estoy realmente interesada en trabajar contigo para crear un artículo sobre un tema general en el cual puedas hacer una referencia a nuestro muy completo tutorial sobre cómo hacer un blog ( https://www.hostinger.mx/tutoriales/como-hacer-un-blog-con-wordpress/).
A cambio mi equipo está listo para compensar tu tiempo y esfuerzo, así como cualquier otra ayuda que necesites.
Avísame si te interesa para que podamos analizar esto más a fondo.
Saludos,
Diana Castillo Hostinger International www.hostinger.mx
Llevo varios años escuchando hablar de las monedas virtuales, especialmente del BitCoin, pero nunca le he prestado demasiada atención. Quizás sea otro de esos errores de no hacer caso a las cosas nuevas y raras que a veces se cruzan en mi camino. Si hubiese empezamos a minar BitCoin (o comprar) en 2010 hoy podría ser millonario.
A mediados de 2010 cuando surgió el BitCoin su precio rondaba los 0,10$ por moneda virtual, hoy un Bitcoin está valorado en más de 4.000 dólares.
Ahora me toca contaos algo más, pero sin entrar a detallar lo que es el BlockChain. Si queréis saber de BlockChain leer el libro: Blockchain: La revolución industrial de internet. Espero en próximos artículos contar como va mi experiencia con Criptomonedas y BlockChain, si tiene sentido estar aquí o no. Sin tiempo para escribir.264
Llego 7 años tarde a las monedas virtuales. Ahora estoy probando con unos pocos euros (menos de 500€) a comprar algunos BitCoin, Ethereum y LiteCoin. Para ello estoy usando CoinBase (el link es de mi afiliado para si acabáis usándolo que nos premien a ambos).
De las tres monedas virtuales de la que más he comprado es Ethereum y la verdad es que me ha sorprendido como ha subido en apenas un mes.
Sin tiempo para escribir.263 pasará a ser STpE.263 de forma que el título de cada artículo (y newsletter cuando proceda) será un adelanto de uno de los temas que contendrá mi recopilación de enlaces e ideas.
Sin tiempo para escribir.263
A principios de agosto comentaba Gonzalo Plaza en Twitter que hace falta un buen agregador de newsletters imprescindibles. Lo primero es decidir cuales son esas que no pueden faltar en nuestras lecturas semanales (o diarias) y después ver como montar ese agregador manual. Aun no me he decidido a montar algo, pero si que voy a realizar un recopilatorio de las que considero imprescindibles en vuestro buzón de correo. Sí, yo también tengo mi newsletter para "Sin Tiempo para Escribir", por si queréis suscribíos, aunque solo somos unos 750 suscriptores.
Newsletters Mixx.IO
Mixx.IO es la publicación diaria sobre tecnología y negocios creada por Álex Barredo que no deja de sorprenderme día a día. Como el mismo dice "Busca explicar qué ocurre en el mundo de la tecnología tanto de consumo como en su vertiente de negocios de una forma amena, clara y concisa. Consiste en artículos escritos y también episodios de podcast con multitud de enlaces llenos de análisis, opinión y contexto."
El resumen del último Mixx.IO es sencillo: [1️⃣] Apple se va a Hollywood! [2️⃣] Google paga una millonada a Apple y Samsung, pero le sale rentable [3️⃣] Con los coches autónomos, el rol del conductor podría cambiar a uno más de azafato.
La Bonilista
David Bonilla nos envía su boletín todas las semanas (normalmente los domingos sobre las 11 de la mañana) con un artículo de opinión que nos da que hablar para el resto de la semana. Y somos como 7600 tarugos (como yo) los que estamos suscritos y seguimos puntualmente sus emails.
Por ejemplo el envío del 6 de agosto fue "LexNET: el software que nunca debió existir", pero no quiero desvelarte mucho más, suscríbete y podrás leerlo tu mismo cada semana, seguro que te enganchará.
Causas y Azares
Antonio Ortiz nos comparte en "Causas y Azares" su selección filtrada, curada y enviada con cariño. Intenta ser semanal, pero no siempre es posible.
Su último envío ha sido "Guerras culturales de verano" que podéis leer para añadir este boletín a vuestra lista de imprescindibles.
Y de momento lo quiero dejar en tres newsletters, pero prometo compartir más. También me gustaría conocer cuales me recomendáis como imprescindibles. Dejar vuestros comentarios en el blog.
