{"id":180727,"date":"2026-05-05T13:09:38","date_gmt":"2026-05-05T20:09:38","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=180727"},"modified":"2026-05-14T13:26:16","modified_gmt":"2026-05-14T20:26:16","slug":"cve-2026-31431-copy-fail","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/","title":{"rendered":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os"},"content":{"rendered":"<h2><a id=\"post-180727-_4lt92rr5muov\"><\/a>Resumen ejecutivo<\/h2>\n<p>El 29 de abril de 2026, los investigadores <a href=\"https:\/\/copy.fail\/\" target=\"_blank\" rel=\"noopener\">divulgaron p\u00fablicamente<\/a> una vulnerabilidad de escalada de privilegios local (LPE) altamente confiable rastreada como <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-31431\" target=\"_blank\" rel=\"noopener\">CVE-2026-31431<\/a>. Esta vulnerabilidad se conoce com\u00fanmente como Copy Fail. Descubierto en aproximadamente una hora mediante un <a href=\"https:\/\/xint.io\/blog\/copy-fail-linux-distributions\" target=\"_blank\" rel=\"noopener\">proceso asistido por IA <\/a>este fallo l\u00f3gico permite a un atacante local sin privilegios <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/05\/01\/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">escalar su acceso<\/a> a root en pr\u00e1cticamente todas las principales distribuciones de Linux lanzadas desde 2017.<\/p>\n<p>A diferencia de muchas vulnerabilidades del kernel, este fallo l\u00f3gico es determinista, lo que significa que no depende de condiciones de carrera ni de desplazamientos espec\u00edficos del kernel. Un \u00fanico script de Python de 732 bytes puede explotarlo con \u00e9xito sin ninguna modificaci\u00f3n en diferentes distribuciones de Linux.<\/p>\n<p>La vulnerabilidad se origina en el subsistema criptogr\u00e1fico del kernel de Linux, concretamente en el m\u00f3dulo <span style=\"font-family: 'courier new', courier, monospace;\">algif_aead<\/span> de la interfaz <span style=\"font-family: 'courier new', courier, monospace;\">AF_ALG<\/span> (una API criptogr\u00e1fica de espacio de usuario). En lugar de un \u00fanico error de codificaci\u00f3n, el fallo se debi\u00f3 a una combinaci\u00f3n de tres actualizaciones independientes:<\/p>\n<ul>\n<li>La incorporaci\u00f3n del algoritmo <span style=\"font-family: 'courier new', courier, monospace;\">authencesn<\/span> en 2011<\/li>\n<li>La interfaz <span style=\"font-family: 'courier new', courier, monospace;\">AF_ALG<\/span>, compatible con AEAD en 2015<\/li>\n<li>Una fatal optimizaci\u00f3n in situ introducida en 2017<\/li>\n<\/ul>\n<p>Durante las operaciones criptogr\u00e1ficas, un error de optimizaci\u00f3n in situ hace que el algoritmo utilice el b\u00fafer de destino de forma incorrecta, escribiendo cuatro bytes controlados m\u00e1s all\u00e1 de la regi\u00f3n leg\u00edtima directamente en la cach\u00e9 de p\u00e1ginas de archivos del sistema. Las versiones afectadas incluyen los kernels de Linux entre las versiones 4.14 y 6.19.12.<\/p>\n<p>Esta vulnerabilidad afecta a millones de sistemas que ejecutan distribuciones principales como <a href=\"https:\/\/ubuntu.com\/blog\/copy-fail-vulnerability-fixes-available\" target=\"_blank\" rel=\"noopener\">Ubuntu,<\/a> Amazon Linux, <a href=\"https:\/\/access.redhat.com\/solutions\/7142032\" target=\"_blank\" rel=\"noopener\">Red Hat Enterprise Linux<\/a>, <a href=\"https:\/\/debiansupport.com\/blog\/copy-fail-cve-2026-31431-mitigation\/\" target=\"_blank\" rel=\"noopener\">Debian<\/a>, <a href=\"https:\/\/www.suse.com\/c\/addressing-copy-fail-in-suse-virtualization\/\" target=\"_blank\" rel=\"noopener\">SUSE<\/a> y AlmaLinux. Un atacante con acceso local est\u00e1ndar puede explotar esta vulnerabilidad para modificar maliciosamente la cach\u00e9 en memoria de archivos ejecutables privilegiados (como <span style=\"font-family: 'courier new', courier, monospace;\">su<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">sudo<\/span>) sin alertar a las comprobaciones de integridad, ya que los archivos f\u00edsicos en disco permanecen inalterados. Dado que el kernel y su cach\u00e9 de p\u00e1ginas se comparten en todo un nodo, este fallo permite a los atacantes:<\/p>\n<ul>\n<li>Salir f\u00e1cilmente de los contenedores Kubernetes<\/li>\n<li>Superar a los hosts multiusuario<\/li>\n<li>Comprometer los canales (CI\/CD) de integraci\u00f3n continua y entrega continua.<\/li>\n<\/ul>\n<p>Instamos encarecidamente a las organizaciones a aplicar parches a sus sistemas inmediatamente mediante las actualizaciones del kernel publicadas por el proveedor.<\/p>\n<p>Los clientes de Palo Alto Networks reciben protecci\u00f3n y mitigaci\u00f3n para CVE-2026-31431 a trav\u00e9s de los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>La Fundaci\u00f3n Linux <a href=\"https:\/\/lore.kernel.org\/linux-cve-announce\/2026042214-CVE-2026-31431-3d65@gregkh\/\">ha publicado un aviso<\/a> con detalles de mitigaci\u00f3n para CVE-2026-314331. Palo Alto Networks recomienda encarecidamente aplicar de forma inmediata las actualizaciones del kernel emitidas por el proveedor. Si esta opci\u00f3n no es factible, recomendamos seguir la <a href=\"#post-180727-_zg1rezlvhwuy\" target=\"_blank\" rel=\"noopener\">gu\u00eda de mitigaci\u00f3n provisional<\/a> para desactivar el m\u00f3dulo vulnerable hasta que se puedan aplicar los parches.<\/p>\n<p>El <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> tambi\u00e9n puede involucrarse para ayudar con una intrusi\u00f3n o para proporcionar una evaluaci\u00f3n proactiva que permita reducir el riesgo.<\/p>\n<table style=\"width: 98.8806%;\">\n<tbody>\n<tr>\n<td style=\"width: 35%;\"><strong><b>Vulnerabilidades debatidas<\/b><\/strong><\/td>\n<td style=\"width: 195.44%;\"><strong>\u00a0CVE-2026-31431<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><a id=\"post-180727-_wven14kmgum2\"><\/a>Detalles de CVE-2026-31431<\/h2>\n<p>La vulnerabilidad rastreada como CVE-2026-31431, conocida como Copy Fail, es un fallo l\u00f3gico determinista localizado en el subsistema criptogr\u00e1fico del kernel de Linux, concretamente en el m\u00f3dulo <span style=\"font-family: 'courier new', courier, monospace;\">algif_aead<\/span> de la interfaz <span style=\"font-family: 'courier new', courier, monospace;\">AF_ALG<\/span>.<\/p>\n<h3><a id=\"post-180727-_gjn0z5s9lche\"><\/a>La causa ra\u00edz<\/h3>\n<p>El fallo tiene su origen en una optimizaci\u00f3n in situ defectuosa introducida en el kernel de Linux en 2017 (commit <a href=\"https:\/\/github.com\/torvalds\/linux\/commit\/72548b093ee3\" target=\"_blank\" rel=\"noopener\">72548b093ee3<\/a>) para el cifrado AEAD. Esta optimizaci\u00f3n in situ de 2017 caus\u00f3 espec\u00edficamente que <span style=\"font-family: 'courier new', courier, monospace;\">req-&gt;src<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">req-&gt;dst<\/span> apuntaran a una scatterlist combinada. Debido a esto, las p\u00e1ginas de la cach\u00e9 de p\u00e1ginas de la llamada a <span style=\"font-family: 'courier new', courier, monospace;\">splice()<\/span> se encadenaron de forma directa en la scatterlist de destino con permisos de escritura.<\/p>\n<p>Durante las operaciones criptogr\u00e1ficas, el algoritmo <span style=\"font-family: 'courier new', courier, monospace;\">authencesn<\/span> utiliza indebidamente el b\u00fafer de destino de la llamada como bloc de notas. Debido a esto, escribe cuatro bytes controlados m\u00e1s all\u00e1 de la regi\u00f3n de salida leg\u00edtima, cruzando un l\u00edmite de la scatterlist encadenado, y falla al restaurarlos. El parche (commit <a href=\"https:\/\/www.google.com\/url?sa=E&amp;q=https%3A%2F%2Fgithub.com%2Ftorvalds%2Flinux%2Fcommit%2Fa664bf3d603dc3bdcf9ae47cc21e0daec706d7a5\" target=\"_blank\" rel=\"noopener\">a664bf3d603d<\/a>) corrige esto revirtiendo el m\u00f3dulo a operaci\u00f3n fuera de lugar, separando las scatterlists de origen y destino para que las p\u00e1ginas de la cach\u00e9 de p\u00e1ginas permanezcan estrictamente en la fuente de solo lectura.<\/p>\n<h3><a id=\"post-180727-_6lxwwre1t23z\"><\/a>Mecanismo de acci\u00f3n<\/h3>\n<p>Un atacante sin privilegios puede explotar este error de gesti\u00f3n de memoria haciendo un mal uso de la interacci\u00f3n entre la interfaz de socket <span style=\"font-family: 'courier new', courier, monospace;\">AF_ALG<\/span> y la llamada al sistema <span style=\"font-family: 'courier new', courier, monospace;\">splice()<\/span>. Cuando <span style=\"font-family: 'courier new', courier, monospace;\">splice()<\/span> pasa p\u00e1ginas de la cach\u00e9 de p\u00e1ginas al subsistema criptogr\u00e1fico, la vulnerabilidad permite al atacante dirigir esa sobreescritura de cuatro bytes directamente a la cach\u00e9 de p\u00e1ginas de archivos del kernel.<\/p>\n<p>El algoritmo <span style=\"font-family: 'courier new', courier, monospace;\">authencesn<\/span> se utiliza para la compatibilidad con n\u00fameros de secuencia extendidos (ESN) de IPsec y utiliza el b\u00fafer de destino como bloc de notas para reorganizar estos n\u00fameros de secuencia. El atacante controla el valor exacto de sobrescritura de cuatro bytes suministrando el <span style=\"font-family: 'courier new', courier, monospace;\">seqno_lo<\/span> (la mitad inferior del n\u00famero de secuencia) dentro de los bytes 4-7 de los Datos Autenticados Asociados (AAD) durante la llamada <span style=\"font-family: 'courier new', courier, monospace;\">sendmsg()<\/span>.<\/p>\n<h3><a id=\"post-180727-_dmugjiwpws63\"><\/a>Explotaci\u00f3n a trav\u00e9s de la cach\u00e9 de p\u00e1ginas<\/h3>\n<p>La cach\u00e9 de p\u00e1ginas es la copia temporal en memoria de un archivo que el kernel lee cuando carga un binario para su ejecuci\u00f3n. Un atacante puede aprovechar la sobreescritura de cuatro bytes para apuntar a la cach\u00e9 de p\u00e1ginas de cualquier binario setuid-root legible, como <span style=\"font-family: 'courier new', courier, monospace;\">\/usr\/bin\/su<\/span>, sudo o <span style=\"font-family: 'courier new', courier, monospace;\">passwd<\/span>.<\/p>\n<p>El atacante controla exactamente d\u00f3nde se produce la sobreescritura manipulando los par\u00e1metros splice offset, splice length y <span style=\"font-family: 'courier new', courier, monospace;\">assoclen<\/span> (longitud asociada). Esto les permite apuntar espec\u00edficamente a la secci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">.text<\/span> de un binario <span style=\"font-family: 'courier new', courier, monospace;\">setuid<\/span> como <span style=\"font-family: 'courier new', courier, monospace;\">\/usr\/bin\/su<\/span> para inyectar su shellcode.<\/p>\n<ul>\n<li><strong>Escalada de privilegios:<\/strong> La modificaci\u00f3n de la copia en cach\u00e9 del binario altera su contexto de ejecuci\u00f3n. Cuando se ejecuta el binario, otorga al atacante privilegios de superusuario (UID 0), rompiendo de hecho los l\u00edmites de confianza del kernel.<\/li>\n<li><strong>Sigilo<\/strong>: Dado que esta corrupci\u00f3n se produce por completo en la memoria RAM del sistema, el archivo f\u00edsico del disco permanece totalmente inalterado. Esto evita las rutas tradicionales del sistema de archivos virtual (VFS) y las herramientas de supervisi\u00f3n de la integridad de los archivos. Una vez que la p\u00e1gina es desalojada de la memoria o el sistema se reinicia, la cach\u00e9 se recarga limpia desde el disco, sin dejar rastro del compromiso.<\/li>\n<\/ul>\n<h4><a id=\"post-180727-_hjri8vmwraii\"><\/a>Caracter\u00edsticas del exploit<\/h4>\n<p>Lo que hace que Copy Fail sea excepcionalmente grave en comparaci\u00f3n con vulnerabilidades LPE anteriores de Linux como <a href=\"https:\/\/www.redhat.com\/es\/blog\/understanding-and-mitigating-dirty-cow-vulnerability\" target=\"_blank\" rel=\"noopener\">Dirty Cow<\/a> o <a href=\"https:\/\/access.redhat.com\/security\/vulnerabilities\/RHSB-2022-002\" target=\"_blank\" rel=\"noopener\">Dirty Pipe<\/a> es su confiabilidad y simplicidad:<\/p>\n<ul>\n<li><strong>Sin condiciones de carrera ni desplazamientos<\/strong>: Es una falla l\u00f3gica en l\u00ednea recta que no depende de ganar una ventana de condici\u00f3n de carrera o adivinar desplazamientos de memoria espec\u00edficos del kernel.<\/li>\n<li><strong>Confiabilidad total:<\/strong> El exploit es determinista y se dispara con \u00e9xito en el primer intento.<\/li>\n<li><strong>Alta portabilidad<\/strong>: El exploit puede ejecutarse utilizando un script de Python independiente de 732 bytes que se basa \u00fanicamente en librer\u00edas est\u00e1ndar (os, socket, zlib), lo que significa que no requiere compilaci\u00f3n ni dependencias externas. Este mismo script funciona sin modificaciones en pr\u00e1cticamente todas las principales distribuciones de Linux lanzadas desde 2017.<\/li>\n<\/ul>\n<h2><a id=\"post-180727-_zg1rezlvhwuy\"><\/a>Gu\u00edas provisionales para CVE-2026-31431<\/h2>\n<p>La vulnerabilidad se corrigi\u00f3 en las ramas estables upstream del kernel de Linux mediante la reversi\u00f3n de la optimizaci\u00f3n defectuosa de 2017 (<a href=\"https:\/\/git.kernel.org\/pub\/scm\/linux\/kernel\/git\/stable\/linux.git\/commit\/?id=a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5\" target=\"_blank\" rel=\"noopener\">commit a664bf3d603d<\/a>).<\/p>\n<p>Si no es posible aplicar parches de inmediato, los administradores deben implementar una mitigaci\u00f3n provisional desactivando el m\u00f3dulo <span style=\"font-family: 'courier new', courier, monospace;\">algif_aead<\/span> afectado. Esto se puede lograr ejecutando los siguientes comandos como root para bloquear la carga del m\u00f3dulo y eliminarlo del kernel:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">echo \"install algif_aead \/bin\/false\" &gt; \/etc\/modprobe.d\/disable-algif.conf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rmmod algif_aead<\/span><\/li>\n<\/ul>\n<p>La Fundaci\u00f3n Linux <a href=\"https:\/\/lore.kernel.org\/linux-cve-announce\/2026042214-CVE-2026-31431-3d65@gregkh\/\" target=\"_blank\" rel=\"noopener\">ha publicado un aviso<\/a> con detalles de mitigaci\u00f3n para CVE-2026-314331.<\/p>\n<h2><a id=\"post-180727-_vgezw6a4uez\"><\/a>Consultas de b\u00fasqueda de amenazas gestionadas de Unit\u00a042<\/h2>\n<p>El equipo de b\u00fasqueda de amenazas gestionadas de Unit\u00a042 sigue rastreando cualquier intento de explotar este CVE en nuestros clientes, por medio de Cortex XDR y las consultas XQL que se indican a continuaci\u00f3n. Los clientes de Cortex XDR tambi\u00e9n pueden utilizar estas consultas XQL para buscar indicios de explotaci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Title: CopyFail Detection via Non-root Launching su via Uncommon Parent Process\r\n\/\/ Description: Query looks for non-root users launching the switch user (su) process via a parent process other than the normally expected processes such as shells, sudo, or su itself. May identify false positives, yet works well for identification of potential CopyFail exploitation.\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1068\r\n\r\ndataset = xdr_data\r\n| fields _time, agent_hostname, agent_os_type, event_type, event_sub_type, actor_effective_username, actor_effective_user_sid, actor_process_image_path, actor_process_image_name, actor_process_command_line, actor_process_image_sha256, action_process_image_name, action_process_image_command_line, action_process_user_sid\r\n| filter\r\n    event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START\r\n    and agent_os_type = ENUM.AGENT_OS_LINUX\r\n    and actor_effective_user_sid != \"0\"\r\n    and (\r\n        (action_process_image_name = \"su\" and action_process_image_command_line in (\"su\", \"\/usr\/bin\/su\"))\r\n        or (action_process_image_name in (\"bash\", \"sh\") and action_process_image_command_line ~= \"-c(?:\\s--)?\\ssu$\")\r\n    )\r\n   and actor_process_image_name not in (\"bash\", \"sh\", \"zsh\", \"ksh\", \"sudo\", \"su\")\r\n| comp earliest(_time) as first_seen, latest(_time) as last_seen, count() as execution_count, values(actor_effective_username) as actor_usernames,  values(actor_process_image_path) as actor_image_paths, values(actor_process_command_line) as actor_cmd_lines, values(action_process_image_command_line) as action_cmd_lines, values(action_process_user_sid) as action_UIDs by agent_hostname, actor_process_image_name, actor_process_image_sha256<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Title: CopyFail Proof of Concept Code Execution\r\n\/\/ Description: Query looks for potential CopyFail proof of concept (POC) code execution via identifying potentially correlated curl and su process executions. May identify false positives, yet works well for identification of CopyFail POC provided by Xint.Code.\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1068\r\n\r\nconfig case_sensitive = false\r\n| dataset = xdr_data\r\n| filter agent_os_type = ENUM.AGENT_OS_LINUX\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START\r\n| filter action_process_image_name in (\"curl\", \"su\")\r\n| bin _time span = 2m\r\n| filter action_process_image_command_line contains \"copy.fail\/exp\" or (action_process_image_command_line = \"su\" or action_process_image_command_line =\"\/usr\/bin\/su\")\r\n| fields _time, agent_id, event_id, agent_hostname, action_process_image_command_line, action_process_image_name, actor_process_instance_id\r\n| comp count() as event_count, values(agent_id) as agent_id, values(event_id) as event_id, values(action_process_image_name) as processes, values(action_process_image_command_line) as commands by agent_hostname, _time, actor_process_instance_id\r\n| filter processes contains \"su\" and processes contains \"curl\"<\/pre>\n<h2><a id=\"post-180727-_6kajjrwpgjuu\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Dada la cantidad de informaci\u00f3n disponible p\u00fablicamente, la facilidad de uso y la eficacia del exploit Copy Fail, Palo Alto Networks recomienda encarecidamente aplicar inmediatamente las actualizaciones del kernel emitidas por el proveedor. Si esta opci\u00f3n no es factible, recomendamos seguir la gu\u00eda de mitigaci\u00f3n provisional para desactivar el m\u00f3dulo vulnerable hasta que se puedan aplicar los parches.<\/p>\n<p>Esto es especialmente importante, dado que ya est\u00e1 disponible p\u00fablicamente un script de prueba de concepto (PoC) altamente confiable y se ha observado una actividad de prueba preliminar.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos gracias a nuestros productos, como se indica a continuaci\u00f3n.<\/p>\n<h2><a id=\"post-180727-_lqzcx8cug942\"><\/a>Protecciones de productos de Palo Alto Networks para CVE-2026-31431<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar varias protecciones y actualizaciones de productos para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que podr\u00eda haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<h3><span style=\"font-weight: 400;\">Next-Generation Firewalls con Advanced Threat Prevention<\/span><\/h3>\n<p>El <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Next-Generation Firewall<\/span><\/a><span style=\"font-weight: 400;\"> con la <\/span><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Advanced Threat Prevention<\/span><\/a> puede ayudar a bloquear la transmisi\u00f3n de scripts de exploit a trav\u00e9s de la red mediante la siguiente firma de prevenci\u00f3n de amenazas: 97176 - Vulnerabilidad de escalada de privilegios en el kernel de Linux.<\/p>\n<h3><a id=\"post-180727-_2m49v0ag38qw\"><\/a>Cortex XDR y XSIAM<\/h3>\n<p>El agente Cortex XDR para Linux, a partir de la actualizaci\u00f3n de contenido 2240-35441, incluye capacidades de detecci\u00f3n y prevenci\u00f3n para muestras conocidas relacionadas con la vulnerabilidad Copy Fail.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> ayudan a proteger contra las actividades previas y posteriores a la explotaci\u00f3n, utilizando el enfoque de protecci\u00f3n multicapa, que incluye <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-3.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Endpoint Protection Modules<\/a> (EPM), Behavioral Threat Protection y el m\u00f3dulo Local Analysis.<\/p>\n<h3><a id=\"post-180727-_m5cvrg1ww3e6\"><\/a>Cortex Cloud<\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">La protecci\u00f3n de endpoints de Cortex Cloud<\/a> puede ayudar a proteger a las organizaciones de las amenazas expresadas en este art\u00edculo. <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/visibility-governance-automation\/\" target=\"_blank\" rel=\"noopener\">Cortex Cloud 2.1 puede<\/a> detectar y prevenir operaciones maliciosas mediante an\u00e1lisis de comportamiento y habilitados por IA para detectar cu\u00e1ndo los atacantes se dirigen a endpoints de Linux, incluidos contenedores y m\u00e1quinas virtuales. Adem\u00e1s, puede detectar cu\u00e1ndo se hace un uso indebido de las pol\u00edticas de IAM de la plataforma en la nube asociadas con esos endpoints objetivo y alertar a los equipos cuando los activos son vulnerables a estas amenazas.<\/p>\n<p><em>Actualizado el 6 de mayo de 2026 a las 3:15\u00a0p\u00a0m. PT para ampliar la cobertura de Cortex XDR y XSIAM y a\u00f1adir firewalls de nueva generaci\u00f3n con prevenci\u00f3n de amenazas avanzada. <\/em><\/p>\n<p><em>Actualizado el 7 de mayo de 2026 a las 2:00\u00a0p\u00a0m. PT para cambiar la versi\u00f3n del contenido Cortex XDR.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.<\/p>\n","protected":false},"author":366,"featured_media":180201,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8856],"tags":[8859,10102,9292,9851,10103,10104,10105],"product_categories":[8932,8933,8934,8935,8890],"coauthors":[9896],"class_list":["post-180727","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-vulnerabilities-es-la","tag-containers-es-la","tag-cve-2026-31431","tag-kubernetes-es-la","tag-linux-es-la","tag-local-privilege-escalation","tag-page-cache","tag-vulnerability","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os<\/title>\n<meta name=\"description\" content=\"Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os\" \/>\n<meta property=\"og:description\" content=\"Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-05T20:09:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-14T20:26:16+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Justin Moore\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os","description":"Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/","og_locale":"es_LA","og_type":"article","og_title":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os","og_description":"Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/","og_site_name":"Unit 42","article_published_time":"2026-05-05T20:09:38+00:00","article_modified_time":"2026-05-14T20:26:16+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg","type":"image\/jpeg"}],"author":"Justin Moore","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os","datePublished":"2026-05-05T20:09:38+00:00","dateModified":"2026-05-14T20:26:16+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/"},"wordCount":1925,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg","keywords":["Containers","CVE-2026-31431","Kubernetes","Linux","local privilege escalation","page cache","vulnerability"],"articleSection":["Amenazas sofisticadas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/","name":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg","datePublished":"2026-05-05T20:09:38+00:00","dateModified":"2026-05-14T20:26:16+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Copy Fail (CVE-2026-31431) es un LPE cr\u00edtico del kernel de Linux que permite el acceso root de forma sigilosa. Este fallo afecta a millones de sistemas. Lea nuestro an\u00e1lisis.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/05_Vulnerabilities_1920x900-2-1.jpg","width":1920,"height":900,"caption":"Pictorial representation of a severe Linux vulnerability. Close-up of a woman wearing glasses and focusing intently on a computer screen."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2026-31431-copy-fail\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Copy Fail: Lo que debe saber sobre la amenaza m\u00e1s grave para Linux en a\u00f1os"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180727","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=180727"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180727\/revisions"}],"predecessor-version":[{"id":180728,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180727\/revisions\/180728"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/180201"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=180727"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=180727"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=180727"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=180727"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=180727"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}