Salta al contenuto
8 julio 2026

Descubren fallo de 15 años en Linux que concede control total del sistema

Investigadores de Nebula Security han revelado GhostLock, una vulnerabilidad crítica en el kernel de Linux que permite a cualquier usuario obtener control root completo.

Descubren fallo de 15 años en Linux que concede control total del sistema

En un descubrimiento alarmante, los investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una vulnerabilidad de 15 años en el kernel de Linux que permite a cualquier usuario conectado tomar el control total de una máquina no parcheada. Este fallo, presente por defecto en casi todas las distribuciones principales desde 2011 no requiere permisos especiales, configuraciones inusuales o acceso a la red; basta con llamadas de hilo ordinarias desde cualquier programa local.

Nebula ha desarrollado un exploit funcional que es 97% confiable en sus pruebas y también escapa de contenedores. Además, Google recompensó al equipo con $92,337 a través de su programa de recompensas kernelCTF. Aunque no se conoce su explotación en la naturaleza, Nebula ha publicado el código del exploit, lo que permite a cualquiera ejecutarlo. La prioridad ahora es parchear los sistemas afectados.

El mecanismo detrás de GhostLock

El kernel de Linux tiene un sistema para evitar que una tarea urgente se quede atascada detrás de una trivial. Parte de este sistema es un paso de limpieza que se encarga de ordenar después de una tarea una vez que deja de esperar. Normalmente, esto funciona bien. Sin embargo, en un caso raro, cuando una operación de bloqueo llega a un callejón sin salida y debe retroceder, la limpieza se ejecuta en el momento equivocado y borra el registro de la tarea incorrecta.

Este error deja al kernel sosteniendo una «nota» que apunta a un fragmento de memoria que ya ha sido desechado y reutilizado. Confiar en este puntero obsoleto es el núcleo del fallo, conocido como use-after-free. Desde allí, el equipo de Nebula encadenó varios pasos ingeniosos para convertir este pequeño error en control total, terminando por engañar al kernel para que ejecute su propio código como el usuario «root» todo poderoso. En su máquina de prueba, el proceso tomó aproximadamente cinco segundos.

Impacto y parches disponibles

La vulnerabilidad ha estado presente en Linux desde 2011 y fue corregida en abril con las distribuciones comenzando a implementar el parche. Afecta a casi todas las compilaciones de Linux y tiene una puntuación de 7.8 de 10 (alta, pero no crítica) porque un atacante necesita estar ya conectado a la máquina. Nebula descubrió el fallo utilizando VEGA su herramienta de búsqueda de errores impulsada por inteligencia artificial.

Se recomienda instalar el kernel más reciente de su distribución, no solo la primera versión parcheada. La corrección inicial introdujo un error de bloqueo separado (CVE-2026-53166), y la limpieza de este error aún se estaba ajustando en la corriente principal a principios de julio. Por lo tanto, las primeras compilaciones pueden carecer de la versión final. No hay un trabajo alternativo completo, ya que las operaciones que lo desencadenan son rutinarias para cualquier proceso local.

La disponibilidad de parches es desigual hasta ahora. Por ejemplo, Ubuntu había parcheado su versión más reciente y algunos kernels en la nube, pero a principios de julio, las versiones 24.0422.04 y 20.04 LTS aún se consideraban vulnerables o en progreso. Verifique el aviso de su distribución y confirme la versión del paquete corregido en lugar de asumir que uno está esperando.

GhostLock y otras vulnerabilidades de 2026

GhostLock se suma a una serie de vulnerabilidades de escalada de privilegios en Linux en 2026 varias de las cuales comparten un detalle: fueron encontradas por herramientas automatizadas. VEGA encontró GhostLock; días antes, se reveló Bad Epoll (CVE-2026-46242), un primo cercano que también convierte a un usuario no privilegiado en root. Fue probado a través de kernelCTF y, de manera inusual para esta clase de errores, funciona en Android.

Bad Epoll se encuentra en la misma sección de código donde el modelo Mythos de Anthropic fue acreditado con un fallo relacionado. Lo que comparten es la maquinaria antigua y ampliamente utilizada del kernel que pocos habían releído en años, hasta que las herramientas automatizadas comenzaron a revisarla. La herencia de prioridad de futex data de 2011. Esta clase no es teórica: otro error de 2026Copy Fail (CVE-2026-31431), ya está en la lista de vulnerabilidades de la CISA vistas en ataques del mundo real.

GhostLock también es la segunda mitad de una cadena que Nebula llama IonStack. La primera mitad, CVE-2026-10702 es un fallo de Firefox que ejecuta código dentro del navegador y escapa de su caja de arena; GhostLock lo lleva el resto del camino hasta root. Nebula ya ha demostrado la cadena completa, desde un solo toque en un enlace malicioso hasta el control total, contra Firefox en Android. Por eso un error «solo local» del kernel aún importa: por sí solo, necesita un punto de apoyo, pero unido a un exploit del navegador, se convierte en una compromisión remota. Nebula afirma que un informe completo del exploit de Android está por venir.

Autore

Diego Morales

Diego Morales escribe igual de bien sobre la táctica de un derbi madrileño y una ruta gastronómica por Asturias. Periodismo deportivo con contexto y crónica de viaje con itinerario real.