Un fallo llamado Copy Fail, identificado como CVE-2026-31431, permite a un usuario normal obtener privilegios de administrador en casi todas las distribuciones Linux publicadas desde 2017, según reportes de Theori y Ars Technica. El descubrimiento fue impulsado por un escaneo automatizado con la herramienta Xint Code de Theori, que localizó rutas vulnerables en cerca de una hora. El parche fue añadido al kernel mainline el 1 de abril de 2026, pero la distribución del arreglo a usuarios finales fue desigual.
¿Qué pasó exactamente y por qué es grave?
Copy Fail explota una corrupción del page-cache que nunca marca la página como modificada, por lo que la maquinaria de escritura del kernel no persigue los bytes alterados. Esa característica hace que herramientas que comparan sumas de verificación en disco, como AIDE o Tripwire, no detecten la alteración, según la explicación del investigador Jorijn Schrijvershof citada por Ars Technica. La firma Theori proporcione detalles técnicos y mostró que su prompt dirigido al subsistema crypto ayudó a identificar rutas vulnerables; en su blog indican que el escaneo tomó aproximadamente 1 hora para encontrar varias fallas. El único dato concreto de mitigación temprana es que el parche entró en el kernel mainline el 1 de abril de 2026, de acuerdo a la página de divulgación del exploit.
¿Me afecta si uso Linux en mi laptop o servidor en Argentina?
La vulnerabilidad impacta a distribuciones publicadas desde 2017, lo que significa que muchas instalaciones de Windows-equivalentes de escritorio y servidores están en riesgo, según Ars Technica. Al menos tres distribuciones —Arch, Fedora y Amazon Linux— habían liberado parches a la fecha del informe, lo que muestra que la respuesta fue parcial y heterogénea. Si usás una distribución rolling release o una que recibe actualizaciones rápidas, es probable que el parche ya esté disponible; si tu sistema es una imagen personalizada o un servidor con ciclos de actualización largos, existe mayor probabilidad de vulnerabilidad. Para empresas y pymes en Argentina conviene verificar versiones del kernel y políticas de seguridad: comprobá la versión del kernel y la presencia del parche con las herramientas de tu distro y, si no hay parche, considerá aislar el servidor hasta actualizar.
¿Qué hacer ahora? Pasos prácticos y prioridades.
Primero, comprobá si tu distribución ya tiene el parche: consultá las notas de seguridad oficiales de la distribución o el gestor de paquetes. Si usás Arch, Fedora o Amazon Linux, hay reportes de parches publicados; confirmalo en los canales oficiales de cada distro. Segundo, aplicá actualizaciones del kernel y reiniciá sistemas críticos para cargar el nuevo binario. Tercero, si no podés actualizar de inmediato, limitá el acceso a usuarios no confiables, remové binarios setuid cuando sea viable y activá controles de monitoreo que no dependan exclusivamente de sumas en disco. Recomendamos además validar localmente las mitigaciones: ejecutar pruebas controladas en máquinas aisladas antes de desplegar cambios en producción. Finalmente, tratá la evidencia automatizada como una pista, no como veredicto: la IA sirve para encontrar fallos rápido, pero siempre hay que corroborar manualmente y hacer pruebas locales, siguiendo la lógica que promovemos sobre IA y seguridad.
Si llegaste hasta acá, ya tenés lo esencial para decidir qué priorizar: comprobar parches, aplicar actualizaciones y validar en un entorno controlado. La combinación de escaneos automáticos con verificación humana y despliegues controlados es lo que reduce el riesgo sin paralizar sistemas críticos.
