Los investigadores de Nebula Security han revelado GhostLock (CVE-2026-43499), una falla del kernel de Linux de hace 15 años que permite a cualquier usuario que haya iniciado sesión tomar el control total de raíz de una máquina que no ha sido parcheada.
El código vulnerable se ha incluido de forma predeterminada en prácticamente todas las distribuciones principales desde 2011. La falla no necesita permiso especial, configuraciones inusuales ni acceso a la red; Las llamadas de subprocesamiento ordinarias desde cualquier programa local son suficientes.
Nebula lo convirtió en un exploit de raíz funcional que es 97% confiable en sus pruebas y también escapa a los contenedores, y dice que Google otorgó al equipo $ 92,337 a través de su programa de recompensas por errores kernelCTF.
No se sabe que nadie lo esté explotando en la naturaleza, pero Nebula ha publicado un código de explotación funcional, por lo que ahora cualquiera puede ejecutarlo. Parchar es la prioridad.
Cómo funciona el error
El núcleo tiene un sistema para evitar que una tarea urgente se quede atascada detrás de otra trivial. Parte de esto es un paso de limpieza que ordena después de una tarea una vez que deja de esperar.
Normalmente, eso funciona bien. Pero en un caso raro, donde una operación de bloqueo llega a un callejón sin salida y tiene que retroceder, la limpieza se ejecuta en el momento equivocado y borra el registro de la tarea equivocada.
Ese error deja al núcleo con una “nota” que apunta a un fragmento de memoria que ya ha desechado y reutilizado. Confiar en ese puntero obsoleto es todo el error, el tipo de desliz conocido como uso después de la liberación. A partir de ahí, el equipo de Nebula encadenó algunos pasos inteligentes para convertir ese pequeño error en control total, y terminó engañando al kernel para que ejecutara su propio código como el todopoderoso usuario “root”. En su máquina de prueba, tardó unos cinco segundos.

La falla ha estado en Linux desde 2011 y se solucionó en abril, y las distribuciones ahora están implementando el parche (3bfdc63936dd). Afecta a casi todas las versiones de Linux y obtiene una puntuación de 7,8 sobre 10 (alta, no crítica) porque el atacante ya debe haber iniciado sesión en la máquina. Nebula lo encontró con VEGA, su herramienta de búsqueda de errores basada en inteligencia artificial.
que hacer
Instale el kernel actual de su distribución, no solo la primera versión parcheada. La solución original introdujo un error de bloqueo separado (CVE-2026-53166), y la limpieza para eso aún se estaba solucionando a principios de julio, por lo que es posible que las primeras compilaciones carezcan de la versión final.
No existe una solución completa, ya que las operaciones que lo desencadenan son rutinarias para cualquier proceso local.
La disponibilidad es desigual hasta el momento. Ubuntu, por ejemplo, había parcheado su versión más reciente y algunos kernels en la nube, pero a principios de julio todavía enumeraba 24.04, 22.04 y 20.04 LTS como vulnerables o en progreso. Consulte el aviso de su distribución y confirme la versión corregida del paquete en lugar de asumir que hay una espera.
Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER, dificultan este exploit, pero son mitigaciones, no soluciones. Parche primero las máquinas compartidas y multiinquilino, los servidores en la nube, los contenedores y los ejecutores de CI, donde es más probable que un atacante encuentre el punto de apoyo local que este error necesita.
No es el único error de kernel a raíz este año
GhostLock se une a una serie de errores de escalada de privilegios de Linux de 2026, varios de los cuales comparten un detalle: una herramienta automatizada los encontró.
VEGA encontró GhostLock; Días antes, los investigadores revelaron Bad Epoll (CVE-2026-46242), un primo cercano que también convierte a un usuario sin privilegios en root. Fue probado a través de kernelCTF y, inusualmente para esta clase de error, funciona en Android.
Bad Epoll se encuentra en el mismo tramo de código donde al modelo Mythos de Anthropic se le atribuyó una falla relacionada. Lo que comparten es maquinaria de kernel vieja y muy usada que pocos habían releído en años, hasta que las herramientas automatizadas comenzaron a peinarla. La herencia de prioridad de Futex data de 2011. La clase no es teórica: otro error de 2026, Copy Fail (CVE-2026-31431), ya está en la lista de vulnerabilidades de CISA observadas en ataques del mundo real.
GhostLock es también la segunda mitad de una cadena llamada Nebula. Pila de iones. La primera mitad, CVE-2026-10702, es una falla de Firefox que ejecuta código dentro del navegador y escapa de su zona de pruebas; GhostLock lo lleva el resto del camino hasta rootear.
Nebula ya ha demostrado la cadena completa, desde un solo toque en un enlace malicioso hasta el control total, contra Firefox en Android. Es por eso que un error de kernel “sólo local” sigue siendo importante: por sí solo, necesita un punto de apoyo, pero si se suma a un exploit del navegador, se convierte en un compromiso remoto. Nebula dice que a continuación se publicará un artículo completo sobre el exploit de Android.