Imagina un script de Python tan corto que cabe en un tuit y que, ejecutado en casi cualquier máquina Linux, te entrega las llaves del reino. Eso es CopyFail, la vulnerabilidad que lleva nueve años escondida en el kernel y que esta semana ha puesto a medio internet a aplicar parches a contrarreloj.
El bicho se llama oficialmente CVE-2026-31431, pero alguien en Mastodon lo bautizó como CopyFail y el nombre se quedó. Afecta a la práctica totalidad de distribuciones Linux publicadas desde 2017, y el exploit es, francamente, bochornosamente sencillo.
Qué hace exactamente CopyFail y por qué asusta tanto
El fallo vive en una rutina del kernel relacionada con el manejo de copias entre espacios de memoria de usuario y kernel. Sin entrar en el barro técnico: una llamada mal validada permite que un proceso sin privilegios escriba donde no debería. Resultado: escalada a root con un script de menos de 80 líneas.
Según Wired, los investigadores que lo destaparon llevaban meses avisando antes de hacerlo público. The Verge añade un dato que duele: el código vulnerable se introdujo en una commit de 2017 y nadie lo pilló en las auditorías posteriores. Nueve años. Nine. Years.
Lo más turbio es el alcance. Hablamos de servidores en la nube, routers domésticos, NAS, contenedores Docker, máquinas Android (sí, también), Raspberry Pis tiradas por ahí monitorizando cosas, dispositivos IoT olvidados en sótanos de oficinas. Cualquier cosa con un kernel Linux moderno entra en la lista.
El parche existe, el problema es quién lo aplica
La buena noticia: el parche salió a las pocas horas de la publicación responsable. Si tienes un Ubuntu, Debian, Fedora o Arch razonablemente al día, un apt update && apt upgrade y a vivir. La mala: millones de máquinas no se van a actualizar nunca. Routers que el ISP dejó de mantener en 2019, contenedores en producción que nadie quiere tocar por si se rompe algo, dispositivos médicos certificados con kernels congelados.
Aquí está el detalle que todo el mundo está pasando por alto: el ataque requiere acceso local al sistema, no se ejecuta remotamente desde internet. Pero en un mundo donde cualquier servicio web mal configurado te da una shell de bajo privilegio, pasar de ahí a root con CopyFail es trivial. Es la pieza que faltaba en muchos kits de ataque.
El equipo del kernel ha publicado la nota técnica en kernel.org con los detalles del parche, y la ficha completa de la vulnerabilidad está en la base de datos NVD del NIST para quien quiera el desglose CVSS.
No es la primera vez y no será la última
CopyFail recuerda demasiado a Dirty COW (2016), aquella otra escalada de privilegios que vivió once años en el kernel antes de salir a la luz. La pregunta incómoda es la de siempre: si el código abierto se audita constantemente porque cualquiera puede mirarlo, ¿cómo se cuela un fallo de este calibre durante casi una década?.
La respuesta corta: nadie audita gratis los rincones aburridos del kernel. Las grandes empresas pagan por revisar lo que les afecta directamente, las fundaciones ponen recursos donde pueden, y zonas enteras del código quedan en una especie de limbo de buena fe. El modelo open source funciona, pero tiene grietas estructurales que nadie ha terminado de tapar.
Yo creo que lo más interesante de este caso no es el bug en sí, es la velocidad de respuesta. De la publicación al parche distribuido pasaron menos de seis horas. Eso sí que es una victoria del modelo. Otra cosa es que tu router de 2018 se entere algún día.
El siguiente capítulo lo escribirán los grupos de ransomware en las próximas semanas. Históricamente, cada vez que sale un exploit de escalada local así de limpio, las campañas masivas tardan entre 10 y 30 días en incorporarlo. Pon una alarma.
Hype-O-Meter
Nivel de hype: 8,5/10. Una vulnerabilidad que afecta a casi todo Linux desde 2017, con exploit público trivial y parche ya disponible — el cóctel perfecto para una semana muy entretenida en los equipos de seguridad. La nota no llega a 10 porque requiere acceso local, no remoto (aún tenemos eso a favor).
El resumen para vagos (TL;DR)
- 🎯 ¿Qué ha pasado? Un fallo en el kernel Linux desde 2017 permite escalar a root con un script de Python.
- 🔥 ¿Por qué importa? Afecta a millones de servidores, routers, NAS y dispositivos IoT que nunca se actualizarán.
- 🤔 ¿Nos afecta o es solo un meme? Si tienes algo con Linux en casa, actualiza ya. Si es un router viejo, reza.
