El 29 de abril de 2026, se reveló públicamente una vulnerabilidad de escalada de privilegios local en el kernel de Linux, denominada “Copy Fail” (CVE-2026-31431). Cloudflare, que opera una infraestructura global de servidores Linux, respondió rápidamente, validando que sus sistemas de detección de comportamiento ya identificaban el patrón de explotación en cuestión. La empresa no sufrió impacto alguno en sus servicios, ni hubo riesgo para los datos de los clientes.
La vulnerabilidad, que involucra una optimización de 2017 en la API de criptografía del kernel, permitía a un atacante modificar archivos ejecutables mediante la manipulación de la caché de páginas. Cloudflare, que utiliza kernels Linux personalizados y un proceso de actualización semanal, ya había implementado la corrección en la mayoría de su infraestructura (kernel 6.12 LTS) en el momento de la divulgación.
Lo más destacable fue que los sistemas de detección de comportamiento de Cloudflare, que monitorean patrones de ejecución anómalos sin depender de firmas específicas, identificaron la explotación en minutos, incluso antes de que se desarrollara una regla específica para la vulnerabilidad. La empresa también realizó una investigación exhaustiva de sus registros para detectar posibles explotaciones previas, siguiendo su principio de “asumir compromiso hasta probar lo contrario”.