6 min. de lectura<\/p>\n
Un agente de inteligencia artificial de la empresa Theori encontr\u00f3 autom\u00e1ticamente CVE-2026-31431 el 04.05.2026 en aproximadamente una hora, desarroll\u00f3 un exploit funcional y lo public\u00f3 en una p\u00e1gina web p\u00fablica. CrowdStrike confirma la explotaci\u00f3n activa en la naturaleza libre. CISA ha incluido la vulnerabilidad en la lista Known Exploited Vulnerabilities (KEV). Sistemas afectados: todas las distribuciones de Linux con kernel desde 2017.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>CVE-2026-32202: Paquete de Windows incompleto \/<\/span> DSGVO-Bu\u00dfgeld 2026: Bu\u00dfgeldpraxis f\u00fcr den Mittelstand<\/a><\/p>\n \u00bfQu\u00e9 es CVE-2026-31431?<\/strong> CVE-2026-31431 es una vulnerabilidad de escalada de privilegios en el kernel de Linux en el AF_ALG-Interface (Application Framework – Algorithm). Un atacante local con acceso a la l\u00ednea de comandos puede obtener privilegios de kernel a trav\u00e9s de un error de memoria controlado en la interfaz. La vulnerabilidad afecta a todas las distribuciones de Linux con kernel desde 2017 y se ha incluido en la lista KEV de CISA desde el 04.05.2026.<\/p>\n El fallo – internamente llamado \u00abcopyfail\u00bb – combina un error en la componente ONC ESN con un primitivo de escritura en el Page-Cache. Los atacantes pueden provocar un error de memoria controlado a trav\u00e9s de la AF_ALG-interface que escalada a privilegios de kernel.<\/p>\n El Proof-of-Concept p\u00fablico de Theori<\/a> tiene 732 l\u00edneas de c\u00f3digo Python. Funciona en todas las distribuciones de Linux que han cargado el m\u00f3dulo AF_ALG desde el kernel update de 2017, incluyendo Debian, Ubuntu, Arch, Red Hat, SUSE y sus derivados. Un sistema sin este m\u00f3dulo no es vulnerable, pero la mayor\u00eda de las implementaciones de Linux en entornos en la nube tienen el m\u00f3dulo AF_ALG cargado.<\/p>\n El agente aut\u00f3nomo no solo construy\u00f3 un esc\u00e1ner. Analiz\u00f3 el c\u00f3digo del kernel, identific\u00f3 la clase de vulnerabilidad, desarroll\u00f3 un exploit y public\u00f3 los resultados – todo esto sin un paso de revisi\u00f3n humana en el proceso principal. Todo esto se llev\u00f3 a cabo en aproximadamente una hora.<\/p>\n Esto tiene dos implicaciones para los equipos de seguridad en el DACH. Primero: el per\u00edodo entre la aparici\u00f3n de la vulnerabilidad y la publicaci\u00f3n de un exploit se reduce dr\u00e1sticamente. Si un agente de IA puede analizar el c\u00f3digo del kernel en 60 minutos para encontrar patrones que se pueden explotar, el ventana de tiempo para aplicar patches a las vulnerabilidades zero-day se reduce significativamente. Segundo: los atacantes utilizan las mismas t\u00e9cnicas. Las estimaciones de mercado gris para exploits de elevaci\u00f3n de privilegios locales similares en Linux oscilan entre 10.000 USD y 7 millones de USD – el mercado existe y es activo.<\/p>\n \n\u00abExplotaci\u00f3n en la naturaleza confirmada. Todos los sistemas de Linux sin actualizaci\u00f3n con AF_ALG habilitado est\u00e1n en riesgo.\u00bb La inclusi\u00f3n de CISA KEV<\/a> significa para las agencias federales de EE. UU. una fecha l\u00edmite para aplicar patches. Para las organizaciones del DACH, no es una obligaci\u00f3n legal, pero es un indicador claro: la explotaci\u00f3n est\u00e1 confirmada, el exploit est\u00e1 publicado, y el riesgo es real y presente.<\/p>\n Estado de los patches en las principales distribuciones (fecha: 05.05.2026): Red Hat Enterprise Linux y CentOS Stream han publicado actualizaciones en sus canales de asesoramiento. Debian Stable y Ubuntu LTS tienen patches en estado de ensayo. Arch y SUSE\/openSUSE est\u00e1n en proceso de implementaci\u00f3n. Para obtener detalles, revise las listas de correo electr\u00f3nico de seguridad de cada distribuci\u00f3n.<\/p>\n Sistemas sin la posibilidad de aplicar patches inmediatamente pueden deshabilitar el m\u00f3dulo AF_ALG: echo \u00abinstall af_alg \/bin\/false\u00bb >> \/etc\/modprobe.d\/blacklist.conf<\/span>. Esto evitar\u00e1 el exploit, pero limitar\u00e1 las operaciones criptogr\u00e1ficas que dependen de AF_ALG. Aseg\u00farese de evaluar qu\u00e9 aplicaciones se ven afectadas antes de implementar el workaround en producci\u00f3n.<\/p>\n No. El exploit requiere una sesi\u00f3n local o un foothold mediante SSH. Un atacante debe tener acceso al sistema. La ejecuci\u00f3n de c\u00f3digo remoto a trav\u00e9s de la red con solo esta CVE no es posible. Esto no cambia la urgencia: los accesos SSH con credenciales d\u00e9biles o claves reveladas suelen ser el primer paso en entornos en la nube.<\/p>\n Todas las distribuciones que carguen el m\u00f3dulo del kernel AF_ALG y utilicen un kernel desde la l\u00ednea de commit de la fusi\u00f3n de 2017. Esto afecta pr\u00e1cticamente todos los sistemas Linux modernos: Debian Stable, Ubuntu LTS, Red Hat Enterprise Linux, CentOS, Arch, SUSE\/openSUSE, Alpine. Los registros del cambio del kernel muestran que las versiones desde 4.14 son vulnerables.<\/p>\n No hay obligaci\u00f3n legal directa: la lista KEV se aplica a las agencias federales de EE. UU. Sin embargo, la importancia pr\u00e1ctica es sustancial. Una inclusi\u00f3n en KEV indica que la explotaci\u00f3n est\u00e1 en curso. Las organizaciones europeas obligadas por NIS2 deben tener obligatoriamente un proceso de aplicaci\u00f3n de patches para las vulnerabilidades cr\u00edticas. Las organizaciones con obligaciones de reporte de NIS2 deben priorizar CVE-2026-31431 y documentar cu\u00e1ndo se aplic\u00f3 el patch internamente.<\/p>\n Inmediatamente cuando sea posible. La inclusi\u00f3n de CISA KEV implica que la explotaci\u00f3n est\u00e1 en curso – el exploit est\u00e1 publicado, CrowdStrike ha confirmado ataques. Los sistemas con acceso SSH y sin patches son un riesgo calculable. Tiempo interno: 48 horas para sistemas Linux productivos con acceso a la red, 7 d\u00edas para sistemas aislados con acceso limitado.<\/p>\n AF_ALG (Application Framework – Algorithm) es la interfaz del kernel para operaciones criptogr\u00e1ficas. Deshabilitarlo mediante blacklist evitar\u00e1 el exploit, pero las aplicaciones que dependen de AF_ALG – como ciertas implementaciones de TLS, capas de cifrado de disco, conexiones HSM – perder\u00e1n su aceleraci\u00f3n criptogr\u00e1fica del kernel o volver\u00e1n a fallbacks en el espacio de usuario. Posibles p\u00e9rdidas de rendimiento. Pruebe en producci\u00f3n antes de implementar.<\/p>\n Fuente de la imagen del t\u00edtulo: Pexels \/ Markus Spiske<\/p>\n","protected":false},"excerpt":{"rendered":"Un agente de inteligencia artificial te\u00f3rica encontr\u00f3 de forma aut\u00f3noma el CVE-2026-31431 en 60 minutos.","protected":false},"author":10,"featured_media":14012,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Zero-day kernel Linux IA","_yoast_wpseo_title":"Agente de inteligencia artificial encuentra vulnerabilidad de d\u00eda cero en el n\u00fac","_yoast_wpseo_metadesc":"CVE-2026-31431 en CISA KEV: Agente de IA encuentra vulnerabilidad cero d\u00eda en Linux en 1h. CrowdStrike confirma ataques.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[253,3],"tags":[],"class_list":["post-14115","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","category-aktuelles"],"wpml_language":"es","wpml_translation_of":14013,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=14115"}],"version-history":[{"count":5,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14115\/revisions"}],"predecessor-version":[{"id":14998,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14115\/revisions\/14998"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/14012"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=14115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=14115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=14115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\u00bfQu\u00e9 es CVE-2026-31431 en t\u00e9rminos t\u00e9cnicos?<\/h2>\n
\u00bfPor qu\u00e9 la metodolog\u00eda de descubrimiento de IA es relevante?<\/h2>\n
\nInteligencia de Amenazas de CrowdStrike, 04.05.2026<\/cite>\n<\/p><\/blockquote>\nEstado de los patches y medidas inmediatas<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfLa CVE-2026-31431 es vulnerable a la explotaci\u00f3n remota?<\/h3>\n
\u00bfQu\u00e9 versiones de Linux est\u00e1n afectadas?<\/h3>\n
\u00bfQu\u00e9 significa la inclusi\u00f3n de CISA KEV para las organizaciones europeas?<\/h3>\n
\u00bfCu\u00e1ndo deben aplicarse los patches?<\/h3>\n
\u00bfCu\u00e1l es el workaround para AF_ALG y cu\u00e1les son sus desventajas?<\/h3>\n
M\u00e1s del MBF Media Red<\/h2>\n
\n