Ubuntu vulnerable: un fallo en Snapd permite ser root
La vulnerabilidad Ubuntu Snapd identificada como CVE-2026-3888 permite a cualquier usuario local obtener privilegios root en Ubuntu Desktop 24.04 y versiones posteriores. Descubierta por Qualys Threat Research Unit el 17 de marzo de 2026, la falla explota una condición de carrera entre snap-confine y systemd-tmpfiles que afecta a millones de instalaciones por defecto.
En 30 segundos
- CVE-2026-3888 tiene un CVSS de 7.8 (alta gravedad) y permite escalación de privilegios a root en Ubuntu Desktop 24.04, 25.10 y 26.04 dev sin necesidad de credenciales administrativas.
- El exploit aprovecha que systemd-tmpfiles elimina /tmp/.snap después de 10-30 días, y un atacante local puede recrear ese directorio con payloads que se ejecutan como root.
- Ubuntu Server NO está afectado por defecto. La vulnerabilidad requiere acceso local, no es explotable de forma remota.
- Canonical ya publicó parches: actualizá snapd con
sudo apt update && sudo apt upgrade snapdpara corregir el problema. - Versiones parcheadas: 2.73+ubuntu24.04.1 (Noble), 2.73+ubuntu25.10.1 (Oracular) y 2.74.1+ (Plucky/26.04 dev).
Canonical es la empresa británica fundada por Mark Shuttleworth en 2004 que desarrolla y mantiene Ubuntu, una de las distribuciones de Linux más utilizadas. También ofrece servicios comerciales de soporte, seguridad y gestión de infraestructura para entornos de servidor, nube, IoT y escritorio.
CVE-2026-3888 es una vulnerabilidad de escalación local de privilegios que afecta al componente snap-confine del sistema de paquetes Snap en Ubuntu Desktop. En términos concretos: si alguien tiene una cuenta de usuario común en tu máquina Ubuntu, puede convertirse en root sin conocer la contraseña de administrador. Dado que snap viene preinstalado en todas las versiones de Ubuntu Desktop desde hace años, el alcance potencial es enorme.
Qué es CVE-2026-3888 y por qué importa
La falla fue reportada públicamente el 17 de marzo de 2026 por el equipo Qualys Threat Research Unit (TRU), el mismo grupo que en su momento descubrió vulnerabilidades críticas en sudo y Polkit. Le asignaron un CVSS de 7.8, lo que la clasifica como de gravedad alta. No es crítica porque requiere acceso local —no se puede explotar desde internet—, pero esa distinción importa menos de lo que parece en entornos reales.
¿Por qué? Porque Ubuntu Desktop es la distribución Linux más usada en estaciones de trabajo corporativas, universidades y entornos de desarrollo. Canonical reconoció la vulnerabilidad el mismo día de la publicación y liberó parches para las versiones afectadas. El problema de fondo es que snap-confine es un binario con el bit SUID activado, lo que significa que se ejecuta con privilegios root independientemente de quién lo invoque. Eso lo convierte en un blanco atractivo para investigadores de seguridad y atacantes por igual.
Cómo funciona el exploit: snap-confine vs systemd-tmpfiles
El mecanismo de la vulnerabilidad es elegante en su simplicidad, y eso es justamente lo que lo hace peligroso. Involucra dos componentes que funcionan de forma independiente y no se coordinan entre sí: snap-confine (parte de snapd) y systemd-tmpfiles (parte de systemd).
Cuando ejecutás una aplicación snap, snap-confine crea un directorio temporal en /tmp/.snap como parte del proceso de inicialización del sandbox. Este directorio se usa para montar namespaces y aislar la app del resto del sistema. El tema es que systemd-tmpfiles tiene una política de limpieza automática: cualquier archivo o directorio en /tmp que no se haya accedido en un período configurable (10 días en Ubuntu 25.10, 30 días en 24.04) se elimina automáticamente.
Acá está el problema. Después de que systemd borra /tmp/.snap, un atacante local puede recrear ese directorio con el mismo nombre pero con contenido malicioso. Cuando un usuario legítimo ejecuta una aplicación snap, snap-confine encuentra el directorio ya existente (el falso) y lo usa para hacer un bind-mount. Como snap-confine corre con privilegios SUID root, los payloads plantados por el atacante se ejecutan con privilegios de superusuario.
El flujo temporal del ataque se resume así: (1) el sistema funciona normalmente con /tmp/.snap legítimo, (2) pasan 10-30 días sin que se acceda al directorio, (3) systemd-tmpfiles lo limpia, (4) el atacante recrea /tmp/.snap con un payload, (5) cualquier ejecución de snap monta el directorio malicioso con privilegios root. Lo interesante es que el atacante no necesita hacer nada sofisticado: alcanza con crear un directorio y esperar. La ventana de 10-30 días suena larga, pero en una estación de trabajo que está encendida permanentemente, se alcanza sin que nadie lo note.
Versiones afectadas y configuraciones vulnerables
No todas las instalaciones de Ubuntu son vulnerables de la misma forma. La distinción principal es entre Desktop y Server, y entre versiones modernas y antiguas.
| Versión | ¿Vulnerable por defecto? | Período de limpieza /tmp | Versión parcheada de snapd |
|---|---|---|---|
| Ubuntu Desktop 24.04 LTS (Noble) | Sí | 30 días | 2.73+ubuntu24.04.1 |
| Ubuntu Desktop 25.10 (Oracular) | Sí | 10 días | 2.73+ubuntu25.10.1 |
| Ubuntu 26.04 LTS dev (Plucky) | Sí | Variable | 2.74.1+ |
| Ubuntu 16.04 a 22.04 | No (salvo config no estándar) | N/A por defecto | N/A |
| Ubuntu Server (cualquier versión) | No | N/A | N/A |
| Upstream snapd | Depende de distro | Depende de distro | 2.75.1+ |
Un punto que se aclaró en el foro oficial de Ubuntu: las versiones anteriores a 24.04 no configuran systemd-tmpfiles para limpiar /tmp/.snap por defecto, así que la condición de carrera no se produce. Eso sí, si alguien modificó la configuración de tmpfiles manualmente (algo que no es raro en entornos corporativos con políticas de hardening), esas instalaciones también podrían ser vulnerables. Ubuntu Server no incluye snap-confine con SUID por defecto en la mayoría de los casos, por lo que tampoco está afectado en configuraciones estándar.
Impacto real: quién debería preocuparse
La pregunta clave acá no es si la vulnerabilidad es técnicamente grave (lo es, con CVSS 7.8), sino en qué escenarios representa un riesgo práctico. La respuesta corta: cualquier entorno donde más de una persona tenga acceso a la misma máquina Ubuntu Desktop.
Pensá en una universidad con laboratorios de informática corriendo Ubuntu 24.04. Decenas de alumnos tienen cuentas locales en cada equipo. Esas máquinas están encendidas durante meses. La condición de los 30 días se cumple sin esfuerzo, y cualquier estudiante con conocimientos básicos de Linux podría ejecutar el exploit. Lo mismo aplica para empresas que usan Ubuntu Desktop como estación de trabajo compartida, o para servidores de desarrollo donde varios programadores tienen acceso SSH.
Ejemplo concreto: una consultora de software con 15 desarrolladores compartiendo 5 workstations Ubuntu 24.04 LTS. Cada equipo lleva más de 6 meses encendido. Un desarrollador descontento (o una cuenta comprometida) crea /tmp/.snap con un payload después de que systemd lo limpió. La siguiente vez que alguien abre Firefox (que en Ubuntu es un snap), el payload se ejecuta como root. El atacante ahora puede instalar un rootkit, leer archivos de otros usuarios, o pivotar a la red interna.
Ahora bien, si sos el único usuario de tu laptop personal con Ubuntu, el riesgo es significativamente menor. El exploit requiere acceso local previo — no lo va a explotar alguien desde internet. Pero “menor” no es “nulo”: si tu máquina se compromete parcialmente por otra vía (un malware que corre como tu usuario), CVE-2026-3888 le da la escalación a root que necesita para comprometer todo el sistema.
Cómo verificar si tu sistema es vulnerable
Antes de parchear, conviene confirmar si tu instalación está expuesta. Ejecutá estos comandos desde una terminal: Si te interesa, podés leer más sobre malware que comprometió repositorios en GitHub.
1. Verificar la versión de snapd:
snap version
La salida te muestra la versión de snapd instalada. Si es anterior a 2.73+ubuntu24.04.1 (en Noble) o 2.73+ubuntu25.10.1 (en Oracular), tu sistema es vulnerable. Por ejemplo, si ves snapd 2.72.1, necesitás actualizar.
2. Verificar si systemd-tmpfiles está limpiando /tmp:
systemd-tmpfiles --cat-config | grep -i tmp
Buscá líneas que indiquen una política de limpieza para /tmp (típicamente algo como d /tmp 1777 root root 30d). Si encontrás una regla con un período de retención (10d, 30d), tu sistema aplica la limpieza automática que habilita el exploit.
3. Verificar tu versión de Ubuntu:
lsb_release -a
Si dice Ubuntu 24.04, 25.10 o 26.04, y estás usando la variante Desktop, tu sistema está en la categoría afectada por defecto.
Cómo parchear: actualización paso a paso
Canonical liberó parches el mismo 17 de marzo de 2026. El proceso de actualización es directo:
sudo apt update && sudo apt upgrade snapd
Después de la actualización, verificá que la versión parcheada se instaló correctamente:
snap version
Deberías ver 2.73+ubuntu24.04.1 o superior para Ubuntu 24.04, 2.73+ubuntu25.10.1 para 25.10, o 2.74.1+ para 26.04. Si usás una distribución que empaqueta snapd desde upstream, necesitás la versión 2.75.1 o posterior.
Un detalle que algunos sitios técnicos mencionan pero que Canonical no enfatiza lo suficiente: después de actualizar snapd, es recomendable reiniciar el servicio o directamente reiniciar la máquina. Snapd corre como daemon, y la versión nueva del binario snap-confine no reemplaza automáticamente las instancias en ejecución. Un reinicio garantiza que se usa la versión parcheada en todas las invocaciones futuras.
Para verificar post-actualización que el parche está activo:
ls -la /usr/lib/snapd/snap-confine
Revisá que la fecha de modificación del binario coincida con la actualización. También podés confirmar que snapd está corriendo la versión nueva con systemctl status snapd.
Contexto histórico: vulnerabilidades previas en Snapd
CVE-2026-3888 no es la primera vez que snap-confine da problemas de seguridad. En 2019, la vulnerabilidad conocida como Dirty Sock (CVE-2019-7304) permitía a un usuario local crear una cuenta de administrador explotando la API de snapd a través de un socket Unix. Fue descubierta por Chris Moberly y tuvo un impacto considerable porque afectaba a instalaciones por defecto de Ubuntu.
El patrón se repite: snap-confine es un binario SUID root, y cualquier error en su manejo de archivos temporales, namespaces o permisos se convierte automáticamente en una escalación de privilegios. Es el tipo de superficie de ataque que los investigadores de seguridad revisan sistemáticamente, y por buenas razones. Otros binarios SUID como pkexec (la vulnerabilidad PwnKit de 2022) o sudo (CVE-2021-3156, Baron Samedit) siguieron el mismo patrón: fallas que existían desde hacía años y que permitían root local.
Esto reaviva el debate sobre snap versus flatpak versus paquetes nativos. Los críticos de snap argumentan que tener un binario SUID root como parte fundamental del sistema de paquetes introduce una superficie de ataque innecesaria. Flatpak, por ejemplo, usa un modelo distinto para el sandboxing que no depende de binarios SUID. Me parece que el argumento tiene mérito, aunque también hay que reconocer que flatpak tuvo sus propias vulnerabilidades de escape de sandbox. Ningún sistema es inmune, pero la pregunta válida es si el modelo de seguridad de snap justifica los riesgos adicionales que introduce.
Medidas de hardening adicionales para Ubuntu Desktop
Parchear snapd es el paso inmediato, pero si administrás múltiples equipos Ubuntu, hay medidas complementarias que conviene implementar. Ninguna reemplaza al parche, pero reducen la superficie de ataque para vulnerabilidades similares en el futuro.
Excluir /tmp/.snap de la limpieza automática. Podés crear un archivo de configuración en /etc/tmpfiles.d/ con una regla que excluya específicamente /tmp/.snap de la limpieza periódica de systemd-tmpfiles. Esto elimina la condición que habilita el exploit (la eliminación y recreación del directorio). Eso sí, esta mitigación tiene un trade-off: el directorio se acumula indefinidamente si no lo limpiás manualmente. Si te interesa, podés leer más sobre nuestra guía para integrar APIs en proyectos.
Monitorear cambios en /tmp con auditd. Configurar una regla de auditoría para detectar la creación de /tmp/.snap te da visibilidad sobre intentos de explotación. Una regla como -w /tmp/.snap -p wa -k snap_exploit en la configuración de auditd registra cualquier escritura o cambio de atributos en ese path. Combinado con un SIEM o un script de alerta, podés detectar intentos de explotación en tiempo real. También te puede interesar este análisis en nuestro blog de IA: la alerta de CISA sobre brechas de seguridad.
Habilitar actualizaciones automáticas de seguridad. El paquete unattended-upgrades puede configurarse para incluir snapd en las actualizaciones automáticas. Si no lo tenés activo, un simple sudo dpkg-reconfigure unattended-upgrades te permite habilitarlo. Para entornos corporativos, podés configurar el archivo /etc/apt/apt.conf.d/50unattended-upgrades para que aplique parches de seguridad sin intervención manual. La diferencia entre parchear el día 1 y parchear la semana siguiente puede ser la diferencia entre un sistema seguro y uno comprometido. También te puede interesar este análisis en nuestro blog de IA: controversias recientes sobre seguridad tecnológica.
Qué significa para empresas y equipos en Latinoamérica
Ubuntu Desktop es la distribución más adoptada en universidades, organismos públicos y empresas de tecnología en la región. En muchos de estos entornos, las estaciones de trabajo corren durante meses sin reiniciarse y múltiples usuarios comparten el mismo equipo. Exactamente el escenario donde CVE-2026-3888 es más peligroso.
El problema adicional en Latinoamérica es que muchas organizaciones no tienen un proceso formal de patch management para estaciones Linux. Actualizan Windows religiosamente (porque Microsoft lo fuerza), pero las máquinas Ubuntu quedan sin parchear durante semanas o meses. Si tu equipo de IT administra estaciones Ubuntu, asegurate de que snapd esté en la lista de paquetes con actualizaciones automáticas habilitadas. Y si estás corriendo infraestructura Linux en un proveedor de cloud o hosting local, verificá que tus instancias Desktop (si las tenés) estén parcheadas. Proveedores como Donweb ofrecen VPS con Ubuntu donde podés gestionar las actualizaciones directamente, pero la responsabilidad de aplicar parches es tuya.
Errores comunes
Creer que por ser un exploit local no es urgente
Muchos admins desestiman las vulnerabilidades de escalación local pensando “si alguien ya tiene acceso a mi máquina, ya estoy comprometido”. Error. La mayoría de los ataques reales combinan una intrusión inicial de bajo privilegio (un phishing, un RCE en una app web) con una escalación local para obtener control total. CVE-2026-3888 es exactamente el tipo de vulnerabilidad que un atacante encadena después del acceso inicial. Parcheá como si fuera remota.
Asumir que Ubuntu Server está afectado
Varios artículos en español mezclaron Desktop con Server y generaron alarma innecesaria. Ubuntu Server, en su configuración por defecto, no incluye snap-confine con SUID root ni la misma configuración de systemd-tmpfiles que dispara la vulnerabilidad. Si usás Server, no necesitás entrar en pánico. Eso sí, si le instalaste un entorno de escritorio o modificaste la configuración de tmpfiles, verificá manualmente.
Actualizar snapd sin reiniciar el servicio
El paquete se actualiza en disco, pero el daemon y los binarios en memoria pueden seguir siendo la versión vieja. Correr sudo apt upgrade snapd y dar el tema por cerrado sin reiniciar snapd (o la máquina) te deja con una falsa sensación de seguridad. Siempre verificá con snap version después del reinicio que la versión activa es la parcheada.
Este tipo de fallos críticos no es aislado; hace poco analizamos cómo Ubuntu vulnerable a escalación root por fallo en Snapd (CVE- expone riesgos similares en infraestructura Linux.
Esto se relaciona con lo que analizamos en Ubuntu vulnerable a escalación root por fallo en Snapd (CVE-, donde cubrimos el tema en detalle.
En la misma línea de vulnerabilidades del sistema, cubrimos el caso de Ubuntu vulnerable a escalación root por fallo en Snapd (CVE-.
También cubrimos en detalle Ubuntu vulnerable a escalación root por fallo en Snapd (CVE-, un caso similar de exposición crítica.
Podés profundizar en vulnerabilidades similares en nuestro análisis sobre Ubuntu vulnerable a escalación root por fallo en Snapd (CVE-.
Esto se conecta con la vulnerabilidad que cubrimos hace poco en Ubuntu vulnerable a escalación root por fallo en Snapd (CVE-, donde vimos cómo estos ataques afectan directamente el ciclo de producción.
Preguntas Frecuentes
¿Cómo sé si mi versión de Ubuntu está afectada por CVE-2026-3888?
Ejecutá lsb_release -a para ver tu versión y snap version para ver la versión de snapd. Si usás Ubuntu Desktop 24.04, 25.10 o 26.04 con una versión de snapd anterior a la parcheada (2.73+ubuntu24.04.1 para Noble, por ejemplo), tu sistema es vulnerable. Ubuntu 22.04 y anteriores no están afectados por defecto.
¿Se puede explotar CVE-2026-3888 de forma remota?
No. La vulnerabilidad requiere acceso local al sistema. Un atacante necesita poder crear archivos en /tmp, lo que implica tener una sesión activa en la máquina. Eso sí, si un atacante obtiene acceso remoto limitado por otra vía (una shell reversa con privilegios de usuario), puede usar este exploit para escalar a root.
¿Cómo actualizo snapd para corregir la vulnerabilidad?
Ejecutá sudo apt update && sudo apt upgrade snapd y después reiniciá el servicio con sudo systemctl restart snapd o reiniciá la máquina directamente. Verificá la versión activa con snap version. Todo el proceso toma menos de 2 minutos.
¿Ubuntu Server también es vulnerable al exploit de snap-confine?
No en su configuración por defecto. Ubuntu Server no configura snap-confine con SUID root ni aplica las mismas políticas de limpieza de /tmp que Desktop. Solo sería vulnerable si un administrador instaló un entorno de escritorio o modificó la configuración de systemd-tmpfiles manualmente.
Conclusión
CVE-2026-3888 no es la vulnerabilidad más exótica del año, pero es de las más relevantes para el ecosistema Ubuntu. Afecta a instalaciones por defecto de la distribución Desktop más popular de Linux, requiere poca sofisticación técnica para explotarse, y Qualys demostró que el ataque funciona de forma confiable. El hecho de que sea local y no remota reduce el perfil de riesgo, pero no lo elimina — especialmente en entornos multiusuario que son más comunes de lo que muchos admins reconocen.
Lo que tenés que hacer es simple: actualizá snapd, reiniciá, verificá. Si administrás una flota de equipos Ubuntu, priorizá esta actualización esta semana. Y si querés ir un paso más allá, configurá unattended-upgrades para que snapd se parchee automáticamente en el futuro. La próxima vulnerabilidad de snap-confine es cuestión de tiempo, no de si va a pasar.
![Expandir con: ["Guía de instalación paso a paso", "Vulnerabilidades específicas parcheadas en 6.9.4", "Compatibilidad con plugins populares", "Cómo verificar si tu sitio está actualizado", "Procedimiento de rollback (si es necesario)", "Mejores prácticas antes de actualizar"] - ilustracion](https://donweb.news/wp-content/uploads/2026/03/wordpress-6-9-4-seguridad-actualizacion-guia-hero-768x429.jpg)
