Una función de seguridad introducida en el kernel de Linux el año pasado está provocando que algunos sistemas host se congelen por completo al activar la virtualización CET en KVM. El problema afecta a CPUs modernas de AMD e Intel, y no tiene diagnóstico definitivo todavía.
Qué está pasando con KVM CET
Control-Flow Enforcement Technology (CET) es una tecnología de seguridad diseñada para proteger el flujo de ejecución de código en los procesadores, dificultando ataques como el *return-oriented programming* (ROP). En el kernel de Linux lleva años disponible para uso nativo, pero su integración en el entorno de virtualización KVM es reciente, llegando con Linux 6.18 con soporte para guests en CPUs AMD e Intel.
El fallo es simple de describir y complicado de aceptar: activar esta capa de seguridad en KVM puede dejar el sistema host completamente colgado. No el guest, no la máquina virtual. El host. El servidor físico que sustenta todo lo demás.
El problema técnico y sus implicaciones reales
Que una característica pensada para reforzar la seguridad sea capaz de tumbar el sistema anfitrión no es un detalle menor. Estamos hablando de un escenario donde un administrador activa CET en su infraestructura de virtualización buscando precisamente mayor protección, y el resultado es un servidor que deja de responder sin previo aviso.
La implementación de CET en KVM implica que el hipervisor gestiona los registros CET del guest en cooperación con el framework FPU del kernel anfitrión, y que los feature bits de CET se exponen al CPUID del guest condicionalmente, desactivándose si no se cumplen dependencias en el lado del host. Esa complejidad de gestión de estado compartido entre host y guest es terreno fértil para bugs difíciles de reproducir y peor de diagnosticar.
A día de hoy, la causa exacta del cuelgue no está identificada. No hay parche disponible y el problema sigue bajo investigación activa.
Quién debería preocuparse ahora mismo
Si gestionas infraestructura basada en KVM sobre kernels Linux recientes con hardware AMD o Intel compatible con CET, la respuesta práctica es clara: no actives CET en virtualización hasta que haya un fix confirmado. El riesgo no es teórico —es un host completamente paralizado, con todo lo que eso implica para los servicios que corre encima.
Intel y AMD llevan años vendiendo CET como una capa de defensa crítica contra exploits modernos. Que su implementación en el entorno de virtualización más usado en Linux cause inestabilidad en el host es una señal de que la integración se apresuró, o al menos de que los tests de regresión no cubrieron los escenarios correctos. Ninguna de las dos opciones es tranquilizadora para quienes gestionan cargas de producción.
El bug fue documentado públicamente el 14 de mayo de 2026, con tres comentarios registrados en el hilo de seguimiento, y la causa raíz permanece sin resolver en el momento de publicar este artículo.
