Una nueva técnica de ciberataque está generando preocupación en la comunidad de seguridad informática. Se trata de “Zombie ZIP”, un método que permite ocultar malware dentro de archivos ZIP manipulados para evadir los motores de detección de antivirus.
El hallazgo expone una debilidad histórica en la forma en que muchas herramientas de seguridad interpretan los archivos comprimidos. Según investigadores, esta vulnerabilidad permite que código malicioso permanezca oculto incluso cuando el archivo es analizado por decenas de soluciones de seguridad.
La técnica fue identificada por el investigador Chris Aziz, de Bombadil Systems, y recibió la designación CVE-2026-0866 por parte del CERT Coordination Center (CERT/CC).
Cómo funciona la técnica Zombie ZIP
Los archivos ZIP contienen metadatos internos que indican cómo están comprimidos los archivos incluidos en el paquete. La técnica Zombie ZIP manipula esos metadatos para engañar a los sistemas de seguridad.
El atacante modifica el encabezado del archivo ZIP para indicar falsamente que los datos no están comprimidos, cuando en realidad sí lo están.
De esta manera, muchos antivirus interpretan el contenido como datos crudos (raw) en lugar de descomprimirlos para analizarlos correctamente.
El resultado es que el motor de seguridad no inspecciona el contenido real, permitiendo que el malware permanezca oculto.
En pruebas realizadas por los investigadores, 50 de 51 antivirus analizados en VirusTotal no detectaron la amenaza, lo que demuestra el alcance del problema.
Archivos que parecen corruptos, pero esconden malware
Uno de los aspectos más llamativos de Zombie ZIP es que los archivos pueden parecer dañados o corruptos cuando se intentan abrir manualmente.
Al utilizar herramientas populares de compresión como WinRAR o 7-Zip, el sistema puede mostrar un error o indicar que el archivo está corrupto.
Sin embargo, el archivo sigue conteniendo el malware completo.
Los atacantes utilizan posteriormente un loader o cargador malicioso que interpreta correctamente la estructura manipulada del ZIP y extrae el código malicioso para ejecutarlo en el sistema comprometido.
Esto permite que el malware se active sin necesidad de que el usuario pueda abrir el archivo correctamente.
Por qué representa un riesgo importante
La técnica Zombie ZIP es especialmente peligrosa por varias razones:
- Evade múltiples motores antivirus al manipular la forma en que interpretan el archivo comprimido.
- Aprovecha debilidades antiguas en el estándar de archivos ZIP que siguen presentes en muchas herramientas.
- Puede pasar desapercibida para los usuarios, ya que los archivos aparentan estar dañados o incompletos.
- Permite distribuir malware de forma silenciosa, especialmente en campañas de phishing o descargas fraudulentas.
Además, los investigadores advierten que el problema no se limita a un único antivirus, sino que afecta a numerosos motores de escaneo utilizados en plataformas de análisis automatizado.
Recomendaciones de seguridad
Ante la aparición de esta técnica, los expertos en ciberseguridad recomiendan adoptar varias medidas preventivas.
Entre las principales recomendaciones se encuentran:
- Actualizar inmediatamente los antivirus y motores de escaneo a sus versiones más recientes.
- Validar los metadatos de archivos comprimidos frente a su contenido real antes de procesarlos automáticamente.
- Evitar abrir archivos ZIP provenientes de fuentes desconocidas o no verificadas.
- Utilizar sistemas de análisis en sandbox para inspeccionar archivos sospechosos antes de ejecutarlos.
Organismos como CERT/CC también han instado a los fabricantes de software de seguridad a corregir estas fallas en los motores de análisis, ya que la debilidad se basa en comportamientos heredados del formato ZIP que persisten desde hace años.
Por qué los antivirus no detectan este ataque
La técnica Zombie ZIP se inscribe dentro de una tendencia cada vez más común en el cibercrimen: el desarrollo de métodos diseñados específicamente para evadir los sistemas de detección.
En lugar de crear malware completamente nuevo, muchos atacantes se enfocan en modificar la forma en que el código malicioso se oculta o se distribuye, utilizando técnicas como ofuscación, empaquetado de archivos, compresión manipulada o cargas útiles fragmentadas.
Este tipo de estrategias busca explotar diferencias en la forma en que los motores de seguridad interpretan archivos o ejecutables, permitiendo que amenazas aparentemente simples pasen desapercibidas durante el análisis automático. Según expertos en ciberseguridad, este enfoque de evasión se ha convertido en uno de los principales desafíos para las plataformas de protección actuales.
Leer más
- Ciberdelincuentes aprovechan la fiebre por Lollapalooza para lanzar fraudes con las entradas
- Whitelist bajo ataque: cómo los hackers usan las listas de confianza para robar millones
- Latinoamericanos están dispuestos a usar la IA para gestionar su vida personal
