La técnica conocida como “Zombie ZIP” ha despertado preocupación en ciberseguridad. Consiste en ocultar archivos maliciosos dentro de paquetes ZIP de forma que muchos antivirus no los detectan, lo que representa un riesgo para quienes descargan y abren estos archivos en sus equipos.
El peligro aumenta porque gran parte de las soluciones de seguridad no identifican la presencia del malware y permiten que el código malicioso se ejecute sin obstáculos.
Cómo funciona el ataque ‘Zombie ZIP’ y por qué engaña a los antivirus
‘Zombie ZIP’ explota la manera en que los antivirus y las utilidades de descompresión leen la estructura interna de los archivos ZIP. Al manipular las cabeceras y etiquetas internas, el atacante hace que el software interprete los datos comprimidos como si fueran datos sin procesar.
Como resultado, el antivirus espera encontrar texto o código plano y no realiza un análisis adecuado del contenido comprimido, lo que lleva al archivo a pasar por inofensivo o descartable.
El investigador Chris Aziz, de Bombadil Systems, probó esta técnica contra 51 antivirus populares y halló que solo uno detectó la anomalía; los demás permitieron que el archivo superara los filtros sin advertencias.
Para el usuario, al abrir el archivo con programas como WinRAR o 7-Zip pueden mostrarse mensajes de error o avisos de archivo corrupto. No obstante, eso no impide que un cargador especializado extraiga y ejecute el malware.
Por qué ‘Zombie ZIP’ representa una amenaza real y difícil de detectar
La efectividad de ‘Zombie ZIP’ no depende de vulnerabilidades nuevas, sino de errores de interpretación de archivos que llevan tiempo presentes en muchos motores de análisis.
Al confiar en las etiquetas internas del ZIP en lugar de verificar el contenido real, los programas de seguridad dejan pasar archivos que enmascaran código malicioso como si fueran archivos comunes o dañados.
Además, muchos usuarios asumen que un archivo está corrupto y lo eliminan, mientras el atacante puede activar el código por otros medios. CERT/CC emitió una alerta sobre esta amenaza y le asignó el identificador CVE-2026-0866, subrayando su gravedad.
Medidas y recomendaciones ante la amenaza de archivos ZIP maliciosos
Frente a ataques como ‘Zombie ZIP’, los expertos recomiendan que las soluciones de seguridad no se basen únicamente en las etiquetas internas de los archivos comprimidos, sino que inspeccionen y verifiquen su contenido real antes de marcarlo como seguro.
La mitigación exige actualizar y reforzar los motores de análisis para que realicen comprobaciones más exhaustivas y no confíen de forma ciega en los metadatos de los ZIP.
El hecho de que Aziz haya publicado pruebas y ejemplos en GitHub aumenta el riesgo de replicaciones malintencionadas, por lo que la vigilancia y las actualizaciones son imprescindibles.
En tanto las defensas se adaptan, los usuarios deben extremar las precauciones al descargar y abrir archivos comprimidos, sobre todo si provienen de fuentes desconocidas o poco fiables.
WinRAR: cómo funciona el programa
WinRAR es una aplicación para crear, gestionar y extraer archivos comprimidos, ampliamente utilizada para reducir el tamaño de ficheros y agrupar varios elementos en un solo paquete. Soporta formatos como .rar y .zip y facilita el almacenamiento y la transferencia de datos.
Para comprimir, WinRAR emplea algoritmos que eliminan redundancias y optimizan el espacio, lo que ayuda a ahorrar capacidad de almacenamiento.
Además, ofrece funciones de protección mediante contraseñas y cifrado para salvaguardar el contenido; herramientas de reparación para archivos dañados; opciones para dividir archivos en volúmenes más pequeños; e integración con el sistema operativo para accesos rápidos desde el menú contextual.
