-
El exploit era invisible a verificaciones de integridad: no deja rastro en el disco.
-
Investigadores detectaron la vulnerabilidad con inteligencia artificial.
Investigadores de la firma de ciberseguridad Theori divulgaron este 29 de abril la vulnerabilidad CVE-2026-31431, presente en el kernel (núcleo del sistema operativo) de Linux desde 2017. La brecha permitiría a cualquier usuario sin privilegios tomar control total de la computadora donde esté instalado el sistema. Dado que según algunas estimaciones 63% de los nodos de Bitcoin opera en Linux, una porción significativa de la infraestructura de esta red podría quedar expuesta.
La vulnerabilidad fue descubierta y parcheada en el núcleo de Linux, pero seguiría siendo vulnerable en cualquier sistema que no haya aplicado la actualización sugerida en el reporte de Theori.
El fallo, detectado con inteligencia artificial, proviene de un error de programación introducido en 2017 en un componente interno de Linux, explicaron los investigadores. Este error permitiría que un usuario común sin permisos especiales manipule la memoria del servidor para alterar el comportamiento de programas del sistema. A partir de ahí, podría obtener acceso de administrador completo (root), el nivel más alto de control sobre una máquina, equivalente a tener las llaves de todo el servidor.
El exploit tenía la particularidad de ser activado en el primer intento, sin necesidad de condiciones especiales, en cualquier versión de Linux sin actualizar. Lo que agrava el riesgo es que el ataque no deja rastro en el disco duro y una revisión de integridad estándar no detectaría nada, advierten desde Theori.
Tampoco ayudaría aislar el nodo dentro de un contenedor (un entorno virtualizado dentro del servidor, usado habitualmente en infraestructura en la nube) y, según el informe de Theori, el fallo permite saltar desde ese entorno aislado hasta el servidor físico subyacente. Lo que haría a la falla mucho más grave.
¿Qué podría haberle pasado a un nodo de Bitcoin?
El daño concreto sobre un nodo de Bitcoin dependería de cómo estuviese configurado el servidor afectado. Con acceso de administrador, un atacante podría apagar el nodo, modificar su configuración o usarlo para propagar información falsa a otros nodos de la red.
Si el servidor además gestionara fondos (como ocurre en exchanges, procesadores de pago o servicios de custodia que corren nodos propios), el riesgo escalaría a la posible pérdida de los bitcoins (BTC) almacenados, ya que con control total del servidor, el atacante accedería a las claves privadas almacenadas en él.
Lo que el exploit no permite es atacar el protocolo de Bitcoin en sí. El daño queda contenido al servidor comprometido y a lo que ese servidor custodie o controle.
Finalmente, la solución confirmada por los investigadores es actualizar el kernel de Linux a una versión que incluya el parche disponible desde el 1 de abril de 2026. Para quienes no puedan actualizar de inmediato, Theori recomienda desactivar el componente vulnerable manualmente.
No obstante, el parche en el kernel no equivale a que todos los servidores estén protegidos. Cada operador de nodo tiene que actualizar manualmente su sistema. Mientras no lo haga, su máquina sigue siendo vulnerable al día de hoy.
