Agente de inteligencia artificial encuentra vulnerabilidad de día cero en el núcleo de Linux en una hora
6 min. de lectura
Un agente de inteligencia artificial de la empresa Theori encontró automáticamente CVE-2026-31431 el 04.05.2026 en aproximadamente una hora, desarrolló un exploit funcional y lo publicó en una página web pública. CrowdStrike confirma la explotación activa en la naturaleza libre. CISA ha incluido la vulnerabilidad en la lista Known Exploited Vulnerabilities (KEV). Sistemas afectados: todas las distribuciones de Linux con kernel desde 2017.
Lo más importante en resumen
- CISA KEV confirma la explotación activa. CrowdStrike ha confirmado la explotación libre de CVE-2026-31431. Todos los sistemas de Linux requieren una actualización obligatoria, sin excepciones.
- El descubrimiento de IA como nueva clase de amenaza. El agente autónomo de Theori encontró la vulnerabilidad en ~60 minutos. La investigación de vulnerabilidades con IA se escala de manera diferente a lo que se ha hecho hasta ahora.
- Explotable localmente, pero realmente peligroso. No es un exploit remoto – solo un foothold SSH es necesario. La escalada de privilegios en los sistemas afectados es trivial después.
Relacionado:CVE-2026-32202: Paquete de Windows incompleto / DSGVO-Bußgeld 2026: Bußgeldpraxis für den Mittelstand
¿Qué es CVE-2026-31431 en términos técnicos?
¿Qué es CVE-2026-31431? CVE-2026-31431 es una vulnerabilidad de escalada de privilegios en el kernel de Linux en el AF_ALG-Interface (Application Framework – Algorithm). Un atacante local con acceso a la línea de comandos puede obtener privilegios de kernel a través de un error de memoria controlado en la interfaz. La vulnerabilidad afecta a todas las distribuciones de Linux con kernel desde 2017 y se ha incluido en la lista KEV de CISA desde el 04.05.2026.
El fallo – internamente llamado «copyfail» – combina un error en la componente ONC ESN con un primitivo de escritura en el Page-Cache. Los atacantes pueden provocar un error de memoria controlado a través de la AF_ALG-interface que escalada a privilegios de kernel.
El Proof-of-Concept público de Theori tiene 732 líneas de código Python. Funciona en todas las distribuciones de Linux que han cargado el módulo AF_ALG desde el kernel update de 2017, incluyendo Debian, Ubuntu, Arch, Red Hat, SUSE y sus derivados. Un sistema sin este módulo no es vulnerable, pero la mayoría de las implementaciones de Linux en entornos en la nube tienen el módulo AF_ALG cargado.
¿Por qué la metodología de descubrimiento de IA es relevante?
El agente autónomo no solo construyó un escáner. Analizó el código del kernel, identificó la clase de vulnerabilidad, desarrolló un exploit y publicó los resultados – todo esto sin un paso de revisión humana en el proceso principal. Todo esto se llevó a cabo en aproximadamente una hora.
Esto tiene dos implicaciones para los equipos de seguridad en el DACH. Primero: el período entre la aparición de la vulnerabilidad y la publicación de un exploit se reduce drásticamente. Si un agente de IA puede analizar el código del kernel en 60 minutos para encontrar patrones que se pueden explotar, el ventana de tiempo para aplicar patches a las vulnerabilidades zero-day se reduce significativamente. Segundo: los atacantes utilizan las mismas técnicas. Las estimaciones de mercado gris para exploits de elevación de privilegios locales similares en Linux oscilan entre 10.000 USD y 7 millones de USD – el mercado existe y es activo.
«Explotación en la naturaleza confirmada. Todos los sistemas de Linux sin actualización con AF_ALG habilitado están en riesgo.»
Inteligencia de Amenazas de CrowdStrike, 04.05.2026
Estado de los patches y medidas inmediatas
La inclusión de CISA KEV significa para las agencias federales de EE. UU. una fecha límite para aplicar patches. Para las organizaciones del DACH, no es una obligación legal, pero es un indicador claro: la explotación está confirmada, el exploit está publicado, y el riesgo es real y presente.
Estado de los patches en las principales distribuciones (fecha: 05.05.2026): Red Hat Enterprise Linux y CentOS Stream han publicado actualizaciones en sus canales de asesoramiento. Debian Stable y Ubuntu LTS tienen patches en estado de ensayo. Arch y SUSE/openSUSE están en proceso de implementación. Para obtener detalles, revise las listas de correo electrónico de seguridad de cada distribución.
Sistemas sin la posibilidad de aplicar patches inmediatamente pueden deshabilitar el módulo AF_ALG: echo «install af_alg /bin/false» >> /etc/modprobe.d/blacklist.conf. Esto evitará el exploit, pero limitará las operaciones criptográficas que dependen de AF_ALG. Asegúrese de evaluar qué aplicaciones se ven afectadas antes de implementar el workaround en producción.
Preguntas frecuentes
¿La CVE-2026-31431 es vulnerable a la explotación remota?
No. El exploit requiere una sesión local o un foothold mediante SSH. Un atacante debe tener acceso al sistema. La ejecución de código remoto a través de la red con solo esta CVE no es posible. Esto no cambia la urgencia: los accesos SSH con credenciales débiles o claves reveladas suelen ser el primer paso en entornos en la nube.
¿Qué versiones de Linux están afectadas?
Todas las distribuciones que carguen el módulo del kernel AF_ALG y utilicen un kernel desde la línea de commit de la fusión de 2017. Esto afecta prácticamente todos los sistemas Linux modernos: Debian Stable, Ubuntu LTS, Red Hat Enterprise Linux, CentOS, Arch, SUSE/openSUSE, Alpine. Los registros del cambio del kernel muestran que las versiones desde 4.14 son vulnerables.
¿Qué significa la inclusión de CISA KEV para las organizaciones europeas?
No hay obligación legal directa: la lista KEV se aplica a las agencias federales de EE. UU. Sin embargo, la importancia práctica es sustancial. Una inclusión en KEV indica que la explotación está en curso. Las organizaciones europeas obligadas por NIS2 deben tener obligatoriamente un proceso de aplicación de patches para las vulnerabilidades críticas. Las organizaciones con obligaciones de reporte de NIS2 deben priorizar CVE-2026-31431 y documentar cuándo se aplicó el patch internamente.
¿Cuándo deben aplicarse los patches?
Inmediatamente cuando sea posible. La inclusión de CISA KEV implica que la explotación está en curso – el exploit está publicado, CrowdStrike ha confirmado ataques. Los sistemas con acceso SSH y sin patches son un riesgo calculable. Tiempo interno: 48 horas para sistemas Linux productivos con acceso a la red, 7 días para sistemas aislados con acceso limitado.
¿Cuál es el workaround para AF_ALG y cuáles son sus desventajas?
AF_ALG (Application Framework – Algorithm) es la interfaz del kernel para operaciones criptográficas. Deshabilitarlo mediante blacklist evitará el exploit, pero las aplicaciones que dependen de AF_ALG – como ciertas implementaciones de TLS, capas de cifrado de disco, conexiones HSM – perderán su aceleración criptográfica del kernel o volverán a fallbacks en el espacio de usuario. Posibles pérdidas de rendimiento. Pruebe en producción antes de implementar.
Más del MBF Media Red
- cloudmagazin: Dieta de imágenes de contenedores 2026 – Distroless, Wolfi, Chainguard para DevOps DACH
- MyBusinessFuture: EUDI Wallet desde el lanzamiento piloto 2026 – Infraestructura de identidad para el sector medio
- Digital Chiefs: IA oculta y marco de gobernanza de KI para empresas
Fuente de la imagen del título: Pexels / Markus Spiske
