CVE-2026-31431 entra al catálogo KEV de la CISA mientras AerynOS estrena Linux 7.0 con kernel optimizado para gaming; Theori atribuye el hallazgo a un escaneo asistido por IA.
La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) incorporó este 1 de mayo CVE-2026-31431 —la vulnerabilidad de escalación local de privilegios apodada Copy Fail— a su catálogo de vulnerabilidades conocidas y activamente explotadas (KEV). La directiva vinculante CISA-BOD-22-01 obliga a todas las agencias del gobierno federal civil de EE.UU. a aplicar el parche en un máximo de 72 horas desde la notificación, que en este caso vence el miércoles 6 de mayo. Copy Fail permite que un usuario sin privilegios escriba 4 bytes controlados en el page cache de cualquier archivo legible del sistema, usando esa escritura para escalar a root con una tasa de éxito del 100% en Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16, según documentó Sysdig. El exploit publicado por Theori mide 732 bytes. La vulnerabilidad tiene su raíz en la interacción entre el módulo criptográfico authencesn (2011), el soporte de sockets AF_ALG AEAD (2015) y una optimización in-place en algif_aead.c introducida en 2017. Para empresas costarricenses con servidores en AWS (Amazon Linux 2023) o con cargas de trabajo RHEL/SUSE, la entrada al KEV es la señal más clara posible de que el parche ya no puede esperar el próximo ciclo de mantenimiento programado. Los contenedores son especialmente vulnerables: si el kernel del host no está parcheado, cualquier proceso dentro de un contenedor con acceso a AF_ALG puede ejecutar el exploit.
El Security Blog de Microsoft publicó el análisis más detallado hasta ahora sobre cómo el exploit funciona en entornos de nube pública, donde la superficie de ataque es radicalmente mayor que en servidores físicos aislados.
El blog de seguridad de Microsoft publicó el 1 de mayo un análisis técnico de CVE-2026-31431 que amplía el alcance descrito inicialmente por Theori. Según el documento, en entornos multi-tenant de nube pública donde múltiples máquinas virtuales comparten el mismo kernel del host —un patrón común en plataformas como Azure Kubernetes Service, AWS EKS y Google GKE— un atacante que comprometa un pod con acceso a AF_ALG puede escalar privilegios hasta el nivel del kernel del host, no solo de la VM. Microsoft confirmó que todos los clústeres de Kubernetes que usen nodos con kernels no parcheados antes de Linux 6.9.12 o 7.0.3 son vulnerables a esta variante del exploit. El ángulo contrario lo aporta el equipo de investigación de Google Project Zero, que publicó una nota señalando que el exploit requiere que el proceso tenga acceso al socket AF_ALG, algo que la política de seccomp de la mayoría de los runtimes de contenedores (containerd con perfil `restricted`, gVisor) bloquea por defecto. En esos entornos, Copy Fail no es explotable sin comprometer primero el runtime. La recomendación práctica no cambia —parcheá el kernel— pero el riesgo en un clúster con perfil de seguridad estricto es materialmente más bajo que el que sugiere la puntuación CVSS de 7.8. Para los equipos de DevOps en Costa Rica que administran clústeres Kubernetes en AWS o GCP, el paso inmediato es verificar la versión del AMI o imagen de nodo que usan: si está en algún kernel entre 5.19 y 7.0.2, el parche es urgente. AWS publicó el 1 de mayo AMIs parcheadas para Amazon Linux 2023; GKE activa actualizaciones automáticas de nodo para clústeres con esa opción habilitada.
La distribución independiente AerynOS publica su primera ISO estable de 2026 con el kernel 7.0 como base y una segunda opción optimizada para consolas portátiles —el primer proyecto mainstream en ofrecer esta separación.
AerynOS publicó el 30 de abril la ISO 2026.05, la primera de sus versiones mensuales en montar Linux 7.0 como kernel estable. A diferencia de distribuciones con ciclos de actualización más conservadores, AerynOS publica ISOs cada dos meses y sigue el kernel más reciente de la serie estable. La novedad principal de 2026.05 no es solo el kernel: a partir de esta versión, los usuarios pueden elegir entre dos sabores al instalar, `linux-stable` (la serie 7.0 sin parches adicionales) y `linux-gaming` (la misma base con parches para handhelds gaming, incluidas optimizaciones de latencia de entrada y mejoras de gestión de energía para APUs AMD usadas en la Valve Steam Deck y dispositivos similares). El resto del stack actualizado incluye COSMIC 1.0.11, Mesa 26.0.6, PipeWire 1.6.4, QEMU 11.0, Wine 11.7, Firefox 150.0.1, Python 3.14.4 y Rust 1.95.0. AerynOS señala en su blog oficial que la distribución sigue siendo de calidad alpha, por lo que no recomienda usarla en producción. La nueva imagen también incorpora el rediseño de marca que el proyecto anunció en abril, con un logo renovado y cambios en la paleta de colores de la pantalla de bienvenida. Para usuarios costarricenses con Steam Deck u otros handhelds basados en AMD, AerynOS 2026.05 es la primera distribución con soporte de kernel gaming oficial que también incluye Linux 7.0 completo —una combinación que otras distros como Arch o Fedora aún no ofrecen en sus canales estables. La advertencia alpha aplica.
cat /feed/seguridadexploit.md
> El exploit público de CVE-2026-31431 publicado por Theori tiene 732 bytes de código C y no requiere privilegios previos. Opera en tres etapas. Primero, el atacante abre un socket AF_ALG de tipo `aead` y configura el template `authencesn` —el módulo criptográfico usado internamente por IPsec. Segundo, invoca la operación de cifrado en modo in-place usando el mecanismo `CRYPTO_ALG_ASYNC` con un mensaje cuidadosamente construido que genera un desbordamiento de lectura controlado. Tercero, usa ese desbordamiento para escribir 4 bytes en el page cache de un archivo arbitrario legible —típicamente `/etc/passwd` o un binario SUID— alterando su contenido en memoria sin tocar el disco, lo que evade la mayoría de los sistemas de monitoreo de integridad de archivos basados en inotify o checksums de disco.
> El resultado es que el proceso sin privilegios puede modificar el UID del usuario root en `/etc/passwd` o inyectar una entrada SUID en un archivo ejecutable, y luego ejecutarlo para obtener una shell root. Sysdig verificó que el exploit funciona en todos los kernels entre 4.9 (cuando authencesn se integró plenamente) y 7.0.2, la última versión vulnerable antes del parche. Los kernels 6.6.84-LTS, 6.12.26-LTS, 7.0.3 y 7.1-rc2 incluyen el fix. Para sistemas costarricenses que ejecutan Ubuntu 22.04 LTS con kernel 5.15, el parche llega como actualización de seguridad normal desde los repositorios de Ubuntu Security.
DarkReading publicó el 2 de mayo un reportaje sobre la metodología que Theori y Xint.io usaron para descubrir CVE-2026-31431. El proceso no fue una auditoría manual del código: el equipo desarrolló un pipeline de análisis estático asistido por un modelo de lenguaje grande entrenado para identificar patrones de interacción inseguros entre subsistemas del kernel. El modelo escaneó el árbol completo del kernel —aproximadamente 30 millones de líneas de código— buscando combinaciones de: operaciones criptográficas in-place, allocators de buffer compartidos entre espacio de usuario y kernel vía sockets AF_ALG, y optimizaciones de copia cero que rompan los supuestos de acceso exclusivo. Copy Fail fue el resultado más crítico de esa búsqueda. Theori reportó el hallazgo al equipo de seguridad del kernel el 23 de marzo y el parche estuvo disponible en menos de una semana —un tiempo de respuesta que el equipo de seguridad del kernel calificó como la corrección más rápida de un bug de severidad alta en lo que va de 2026. El ángulo contrario lo plantea el kernel maintainer Willy Tarreau en la lista de correo del kernel: la velocidad de corrección fue posible precisamente porque authencesn es un módulo de uso limitado y el impacto del fix es quirúrgico; un bug equivalente en el scheduler o en la pila TCP habría tardado semanas en revisión. La IA encontró el bug, pero la rapidez del fix se debió a la arquitectura modular del kernel, no a la herramienta de descubrimiento. Para las empresas costarricenses que invierten en auditorías de código externas, el caso Theori ilustra que las herramientas de análisis asistido por IA pueden complementar —no reemplazar— las revisiones de código humanas en subsistemas de baja visibilidad.
La narrativa dominante alrededor de Copy Fail es de alarma máxima, y la alarma es justificada. Pero el contexto importa: según el análisis de Linux Security publicado el 2 de mayo, al momento del cierre de esta edición el 95% de las distribuciones empresariales con contrato de soporte activo —Red Hat Enterprise, SUSE Linux Enterprise, Ubuntu Pro, Amazon Linux— ya distribuyó kernels parcheados en sus repositorios de actualizaciones. El parche está disponible; el riesgo residual está en los equipos que no han aplicado la actualización disponible. Ese rezago de actualización es el verdadero problema, y es estructural: según una encuesta de Puppet Labs publicada en marzo de 2026, el tiempo mediano entre la disponibilidad de un parche crítico de kernel y su aplicación en servidores de producción en empresas medianas es de 8,3 días —más del doble del plazo de 72 horas que la CISA exige a las agencias federales. Las empresas más expuestas son las que no tienen un proceso automatizado de actualización de kernels o que dependen de ventanas de mantenimiento mensuales. Para las organizaciones costarricenses con flotas Linux, la recomendación es directa: si usan Ansible, Puppet o Chef, añadan una tarea de actualización de kernel específica para CVE-2026-31431 fuera del ciclo normal de parcheo. Si no tienen automatización, actualicen manualmente este fin de semana y reinicien los sistemas afectados. La información proviene principalmente de Linux Security y de los boletines de las distribuciones, sin confirmación independiente sobre el porcentaje exacto del 95% al cierre de esta edición.
— A cuatro días del primer aviso público, la mayoría de las distribuciones empresariales ya distribuyó actualizaciones. El riesgo real no es el exploit en sí, sino la ventana entre el anuncio y el momento en que los equipos de operaciones aplican la actualización.
La semana que comienza el 4 de mayo de 2026 marca un punto de inflexión en el ecosistema Linux: la entrada de CVE-2026-31431 al catálogo KEV de la CISA convierte el parche de Copy Fail en obligatorio para toda la cadena de proveedores del gobierno federal de EE.UU. —lo que en la práctica presiona a decenas de miles de empresas privadas que son contratistas federales. AerynOS debuta como la primera distribución estable con Linux 7.0. Y en el fondo, Linus Torvalds sigue trabajando en los RC del 7.1, cuya fecha tentativa de salida es el 7 de junio. El hilo de la semana para Linux es Copy Fail: seguiremos la cadencia de parches y cualquier nuevo reporte de explotación activa.