🛡️ Copy Fail: cuando la gloria académica prevalece sobre la seguridad del mundo real (una reflexión necesaria)
Durante la madrugada del 29 de abril de 2026, mientras los administradores de sistemas y los equipos de seguridad dormían, los investigadores de Theori/Xint decidieron encender una cerilla en un depósito de gasolina digital. Publicaron la existencia de CVE-2026-31431 (Copy Fail), pero además el código de explotación funcional completo, de tan solo 732 bytes, un guion de instrucciones que permite a cualquier usuario local sin privilegios convertirse en root en prácticamente cualquier distribución Linux lanzada desde 2017.
Nueve años. El fallo se introdujo en 2017 (confirmación de cambios 72548b093ee3) y permaneció oculto durante casi una década. El parche se comprometió en el núcleo principal el 1 de abril de 2026. A partir de ahí, la cronología se vuelve turbia. El CVE se asignó el 22 de abril. Poco después, alguien tomó una decisión que carece por completo de ética profesional en el ámbito de la seguridad informática.
⏰ El cronómetro juega en contra de los administradores
El 29 de abril todo estalló con la divulgación pública. El más mínimo sentido común dicta la concesión de un plazo de embargo prudencial –90 días es lo habitual, a veces más– para que todas las partes implicadas preparen y publiquen actualizaciones reales para sus usuarios. Pero los investigadores de Theori seguramente priorizaron consideraciones comerciales (a fin de cuentas deseaban promocionar su escáner «Xint Code») o la inmediatez de la notoriedad, y emprendieron la divulgación sin dar tregua a nadie.
¿El resultado? Una ventana de vulnerabilidad innecesaria para millones de sistemas en todo el mundo. Como ha señalado Will Dormann (@wdormann), miembro de renombre en la comunidad de seguridad: «No puedo entender cómo ocurre ésto. En todos mis años en seguridad o estás a bordo de la divulgación coordinada de vulnerabilidades o lanzas un 0-day. Esto encaja de manera extraña en medio. O bien estos chicos de Xint Code tienen una agenda oculta o son realmente malos en la divulgación coordinada».
Pocas objeciones caben a ese análisis.
🌍 El mapa mundial de los parches: un desierto
Mientras usted lee esto, la situación resulta desoladora. Carece de correcciones oficiales para la gran mayoría de las distribuciones principales. El CERT de la Unión Europea (CERT‑EU) lo confirma sin ambages: «A fecha de hoy (30 de abril de 2026), ninguna distribución ha enviado un paquete de núcleo corregido. El parche principal se confirmó el 1 de abril de 2026, pero las actualizaciones de los proveedores siguen pendientes en todas las grandes distribuciones».
Ubuntu, Amazon Linux 2023, SUSE Linux Enterprise: ninguno dispone de una solución oficial. Y lo que resulta más preocupante, Red Hat Enterprise Linux (y por tanto AlmaLinux, Rocky Linux y otros derivados) se encuentran en un estado incierto. La página oficial del CVE de Red Hat está operativa, pero carece de rastro de actualizaciones disponibles. La última actualización del núcleo de AlmaLinux data del 21 de abril de 2026… y corregía otros CVEs (CVE‑2025‑68741 y CVE‑2026‑23191), pero aún sin incluir corrección para Copy Fail. Los servidores de AlmaLinux…