Vulnerabilidad en kernel de Linux con explotación activa permite escapar de contenedores y escalar privilegios
CISA agregó CVE-2022-0492 al catálogo KEV el 2 de junio de 2026 por explotación activa confirmada. La falla permite a un atacante escapar del aislamiento de contenedores y obtener privilegios de root en el sistema anfitrión.
Contexto
CVE-2022-0492 es una vulnerabilidad de autenticación incorrecta en el kernel de Linux —el núcleo del sistema operativo que gestiona los recursos del hardware— que permite a un proceso con pocos privilegios obtener acceso de root, es decir, control total del sistema.
Lo que hace esta falla especialmente relevante hoy es su impacto en contenedores: tecnología ampliamente usada en infraestructura moderna que permite ejecutar aplicaciones aisladas dentro del mismo servidor. Docker, Kubernetes y otros sistemas de contenedores dependen de las capacidades del kernel de Linux para mantener ese aislamiento. CVE-2022-0492 permite romper ese aislamiento —“escapar del contenedor”— y comprometer el servidor anfitrión que los aloja.
CISA la agregó al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) el 2 de junio de 2026, lo que confirma explotación activa documentada. La misma lista incluye CVE-2025-48595 de Android en la misma actualización, lo que sugiere una semana de explotación intensa en múltiples plataformas.
Impacto potencial
Para personas
Esta vulnerabilidad no afecta directamente a usuarios de escritorio. Su impacto es en infraestructura de servidores.
Para organizaciones
Si tu organización usa Docker, Kubernetes o cualquier plataforma de contenedores —ya sea en servidores propios o en servicios en la nube como AWS, Azure o Google Cloud— esta vulnerabilidad puede permitir que un atacante con acceso a un contenedor salte al servidor físico o virtual que los aloja.
Las consecuencias prácticas:
- Compromiso completo del servidor: el atacante obtiene acceso root, puede ver todos los procesos, datos y conexiones del sistema anfitrión.
- Movimiento lateral: desde el servidor comprometido puede atacar otros sistemas en la misma red interna.
- Impacto en todos los contenedores del mismo servidor: comprometer el anfitrión expone todas las aplicaciones que corren en él.
Perspectiva GRC
Esta vulnerabilidad tiene tres años de edad. Fue reportada en 2022. El hecho de que siga siendo explotada activamente en 2026 señala un problema sistémico: las actualizaciones de seguridad del kernel de Linux no se aplican con la misma urgencia que las actualizaciones de aplicaciones.
En muchas organizaciones, la infraestructura de contenedores fue desplegada por un equipo técnico y desde entonces opera sin una política clara de gestión de parches. Nadie tiene asignada la responsabilidad de mantener actualizado el kernel del servidor anfitrión.
Recomendaciones
Para personas
Esta vulnerabilidad no requiere acción directa de usuarios individuales.
Para organizaciones
La pregunta que debes poder responder hoy: ¿en qué versión de kernel de Linux corre la infraestructura de contenedores de tu organización, y cuándo fue la última actualización?
- Si usas servicios gestionados en la nube —AWS ECS, Azure AKS, Google GKE— verifica que las instancias subyacentes tengan actualizaciones automáticas activas para el kernel.
- Si operas infraestructura propia, esta vulnerabilidad debe estar en la lista de parches prioritarios para esta semana.
- Pregunta a tu proveedor de infraestructura o equipo técnico cuál es la política de actualización del kernel y quién es el responsable de aplicarla.
Una vulnerabilidad de 2022 activamente explotada en 2026 no es una anomalía. Es el resultado predecible de infraestructura que crece sin un proceso de gestión de parches. El kernel del sistema operativo es la base de todo lo que corre en el servidor. Si esa base tiene una grieta conocida y no resuelta, el inventario de tecnología de la organización —todo lo que corre sobre ese kernel— está en riesgo.