Alerta en el pingüino: Qué es “Bad Epoll”, el peligroso fallo de Linux que permite a cualquiera tomar control como root

El ecosistema de código abierto coordinado históricamente por Linus Torvalds se encuentra lidiando con un nuevo e importante dolor de cabeza en materia de ciberseguridad. El kernel de Linux acaba de registrar de forma oficial una grave vulnerabilidad de seguridad que deja la puerta abierta para que atacantes externos vulneren las defensas del sistema operativo.

Este incidente se suma a una racha compleja para el software, que ha venido experimentando reportes de brechas con alta frecuencia. La vulnerabilidad en cuestión ha sido bautizada por la comunidad técnica con el nombre de “Bad Epoll” y quedó formalmente registrada en las bases de datos internacionales bajo el código CVE-2026-46242.

Al igual que ocurrió en su momento con otros fallos de severidad similar (como el conocido Copy Fail), esta brecha destaca por su peligrosidad técnica: permite a cualquier atacante, incluso si no cuenta con ningún tipo de privilegio o permiso especial en el sistema, saltarse por completo las barreras de autenticación y tomar el control absoluto del equipo al escalar privilegios hasta el nivel de root o superusuario.

SMALL ANDROID PHONE | Source : Noelia Murillo

Lee también: Adiós al número de teléfono: La esperada función de privacidad de WhatsApp que cambia las reglas del juego para siempre

El componente afectado y el impacto estructural en Android

La magnitud de este fallo se expande de forma masiva debido a la propia naturaleza del software moderno. El problema reside en el subsistema denominado epoll, una pieza crítica del núcleo de Linux diseñada para gestionar de manera eficiente las conexiones de red y los flujos de archivos del sistema.

Dado que el sistema operativo Android fue construido por los ingenieros de Google utilizando el kernel de Linux como su base arquitectónica fundamental —sobre la cual añadieron su propia interfaz, funciones y ecosistema de aplicaciones—, el subsistema epoll defectuoso se encuentra introducido en millones de teléfonos inteligentes y tabletas a nivel mundial.

Kernel de Linux (v6.4 en adelante) ??> Subsistema ‘epoll’ (Manejo de Red/Archivos) ??> Base de Android ??> Millones de Smartphones

Si un atacante logra introducir un código malicioso en un dispositivo móvil vulnerable, explotar la brecha Bad Epoll le otorgaría la capacidad de saltarse los mecanismos de contención perimetral de Android, consiguiendo acceso irrestricto al terminal.

Anatomía del exploit: El caos del ‘Use-After-Free’

Desde una perspectiva estrictamente de ingeniería de software, Bad Epoll está catalogado como un error de uso después de liberación o use-after-free. Este tipo de fallos lógicos ocurre cuando el sistema operativo comete la falla de seguir utilizando o llamando a un bloque de memoria RAM que previamente ya había sido vaciado y devuelto al gestor general del sistema.

El mecanismo del exploit funciona de la siguiente manera:

Colisión de tareas: Dos procesos o tareas del sistema operativo intentan de forma simultánea borrar exactamente el mismo bloque de datos en la memoria RAM.Confusión de órdenes: Al cruzarse ambas instrucciones en el procesador, el núcleo de Linux se confunde de forma lógica.Inyección: Una de las tareas procede a borrar la memoria con éxito, pero la segunda tarea continúa realizando operaciones de escritura sobre ese espacio físico creyendo que sigue activo. Es en este preciso instante de desprotección cuando un atacante puede inyectar código malicioso en la memoria desprotegida para tomar el control del flujo del sistema.

La peligrosidad del vector de ataque es sumamente alta. De acuerdo con los datos técnicos provistos por el analista que descubrió el fallo, este ataque es capaz de ejecutarse incluso desde dentro del entorno aislado (sandbox) de Google Chrome. Esto significa que un atacante web podría aprovechar una vulnerabilidad en el navegador para romper su aislamiento de seguridad y saltar directamente a la raíz del sistema operativo anfitrión.

Versiones expuestas y dispositivos a salvo

La lista de sistemas operativos y plataformas expuestas comprende a todas las versiones del kernel de Linux que van desde la edición 6.4 en adelante, a menos que los administradores de los servidores o los dispositivos específicos ya hayan aplicado los parches oficiales de actualización emitidos recientemente.

Afortunadamente para el segmento móvil, las distribuciones y dispositivos que emplean versiones más antiguas del kernel con soporte a largo plazo (LTS) no se encuentran en la zona de peligro. Un ejemplo notable de esto son los teléfonos de la gama Pixel 8 de Google, los cuales emplean una base de software anterior que corre sobre el kernel 6.1, quedando completamente a salvo de esta vulnerabilidad.

Alcance de la vulnerabilidad Bad EpollIdentificador CVECVE-2026-46242.Crítico (Sin parche activo).Permite escalación inmediata a usuario root.Componente CoreSubsistema epoll (red y archivos).Afectado desde la versión 6.4 del Kernel.Pérdida de aislamiento de memoria interna.Entornos WebAislamiento de Google Chrome (Sandbox).Vulnerable ante exploits específicos.Capacidad de saltar del navegador al sistema base.Línea Google Pixel 8Kernel de Linux versión 6.1 (LTS anterior).Seguro / No Afectado.Operación normal sin riesgo por este CVE.¿Hay ataques activos en la red?

A pesar de la gravedad de la estructura del exploit, los expertos en ciberseguridad han confirmado que no existe evidencia alguna de que grupos de delincuentes informáticos estén explotando esta brecha en entornos de producción o de forma abierta en internet.

Hasta el momento, el único software o código ejecutable capaz de replicar y activar este fallo de memoria es el prototipo de prueba de concepto desarrollado por el propio investigador que halló la falla. Dicho prototipo fue entregado directamente de forma controlada al programa de recompensas por errores (bug bounty) de Google, permitiendo que los ingenieros de software desarrollaran a tiempo las correcciones necesarias para mitigar el problema en las distribuciones afectadas antes de que la vulnerabilidad causara daños reales en la infraestructura digital global.



Fuente: https://www.fayerwayer.com/internet/2026/07/07/alerta-en-el-pinguino-que-es-bad-epoll-el-peligroso-fallo-de-linux-que-permite-a-cualquiera-tomar-control-como-root/

Comentarios

Comentar artículo