Escalación de privileges crítica
Algunas vulnerabilidades se anuncian con fallos visibles. Otras permanecen ocultas durante años. Copy Fail pertenece a esta segunda categoría. Revelada el 29 de abril de 2026 por el equipo de investigación de Xint Code Research Team junto con investigadores de Theori, la vulnerabilidad Copy Fail (CVE-2026-31431) es un fallo crítico del kernel de Linux que permite a un usuario local sin privilegios obtener acceso root usando un script de Python de solo 732 bytes.
La falla ha estado presente en prácticamente todas las grandes distribuciones Linux desde 2017.
Anatomía de un exploit perfecto
Copy Fail destaca por su simplicidad y fiabilidad. A diferencia de fallos famosos como Dirty Cow o Dirty Pipe, no requiere condiciones de carrera ni intentos repetidos. Funciona de forma directa y consistente.
El exploit es extremadamente portable. El mismo script Python funciona sin dependencias compiladas en distribuciones como Ubuntu, Amazon Linux, RHEL y SUSE. Empresas detrás de estas distribuciones incluyen Canonical, Amazon, Red Hat (IBM) y SUSE.
El ataque manipula la «page cache», la memoria RAM donde Linux almacena archivos leídos recientemente. Esto permite modificar el código que el sistema ejecuta sin alterar el archivo en disco, evitando que herramientas de integridad detecten cambios.
Debido a que la page cache se comparte entre procesos, la vulnerabilidad también permite escapar de contenedores y comprometer nodos subyacentes, afectando entornos cloud, pipelines CI/CD y sandboxes de IA. Esto la hace especialmente crítica.
Cómo funciona Copy Fail
El fallo surge de la combinación de tres cambios aparentemente inocentes en el kernel a lo largo de varios años.
El ataque comienza con AF_ALG, un tipo de socket que expone el subsistema criptográfico del kernel a usuarios sin privilegios. Usando la función splice(), los datos pueden transferirse entre descriptores sin copiarse, pasando páginas de la cache por referencia.
El problema aparece en authencesn, un algoritmo de cifrado autenticado usado por IPsec que escribe temporalmente fuera de su límite de salida al reorganizar bytes de secuencia. Durante años esto fue inofensivo, hasta que en 2017 una optimización permitió ejecutar operaciones criptográficas in-place, compartiendo memoria entre entrada y salida.
Al encadenar estos elementos, un atacante puede escribir cuatro bytes controlados en la memoria cache de cualquier archivo legible. El objetivo típico es /usr/bin/su, un binario con privilegios root. Al inyectar código malicioso en la cache, se obtiene acceso root inmediato.
Descubrimiento asistido por IA
El hallazgo también marca un cambio importante en la investigación de ciberseguridad. El investigador Taeyang Lee planteó la hipótesis de que la interacción entre AF_ALG, splice() y la page cache podía ocultar vulnerabilidades.
El equipo utilizó Xint Code, una herramienta de análisis automatizado asistida por IA. Tras recibir un prompt sobre el subsistema criptográfico del kernel, el sistema analizó la superficie de ataque y detectó Copy Fail en solo una hora.
Este caso demuestra cómo la IA acelera el descubrimiento de vulnerabilidades críticas.
Mitigación y solución
El equipo de seguridad del kernel fue notificado en marzo de 2026 y el parche está disponible desde el 1 de abril. La solución revierte la optimización de 2017 y separa las referencias de memoria para evitar escrituras en la page cache.
Se recomienda actualizar inmediatamente el kernel. Si no es posible reiniciar o aplicar parches, se puede mitigar bloqueando la creación de sockets AF_ALG mediante seccomp o deshabilitando el módulo vulnerable.
Copy Fail recuerda que incluso los proyectos open source más maduros pueden ocultar fallos críticos durante años. Con herramientas de descubrimiento cada vez más rápidas, la velocidad de parcheo se vuelve más crucial que nunca.
