Alertan sobre 'Zombie ZIP', una técnica para ocultar 'malware' en archivos ZIP para eludir los antivirus

El análisis de Bombadil Systems demostró que solo un programa antivirus de un total de 51 analizados consiguió identificar la amenaza conocida como ‘Zombie ZIP’. Según detalló el medio en el informe difundido, este método explota vulnerabilidades presentes en casi todos los sistemas de protección, permitiendo la instalación de software malicioso sin que los mecanismos de defensa habituales logren advertirlo. La noticia principal gira en torno al desarrollo y proliferación de esta técnica, que aprovecha debilidades en la detección de archivos comprimidos para esquivar sistemas antivirus.

De acuerdo con lo publicado por Bombadil Systems, este procedimiento engaña a los antivirus y lectores de archivos, ocultando software malicioso dentro de archivos ZIP y camuflándolo como un fichero más en la estructura comprimida. El investigador de seguridad Chris Aziz, parte del equipo de Bombadil Systems, fue el primero en descubrir y documentar la existencia de ‘Zombie ZIP’. El reporte indica que, al manipular determinados parámetros de configuración de los archivos ZIP, los atacantes logran que los programas de protección interpreten dichas piezas como inofensivas o incluso como si no se tratara de archivos comprimidos reales.

El medio puntualizó que, al procesar estos archivos mediante la mayoría de los antivirus testeados, no se detectó la amenaza interna, ya que el malware pasaba inadvertido por la estrategia de camuflaje aplicada. Bombadil Systems precisó que, en su análisis, cuando los sistemas de protección fallan al detectar el archivo comprimido, se genera un error en el intento de extraer los contenidos. A pesar del fallo, el malware logra instalarse gracias a la intervención de un componente específico conocido como cargador.

Los expertos citados advirtieron que esta técnica representa una oportunidad significativa para los ciberdelincuentes, ya que aprovechan un fallo estructural presente en la mayoría de los programas de seguridad digital. La investigación comparó la técnica identificada ahora con una vulnerabilidad registrada hace más de dos décadas, categorizada en ese entonces como (CVE-2004-0935). Actualmente, la vulnerabilidad relacionada con ‘Zombie ZIP’ ha sido reconocida bajo el código (CVE-2026-0866), tal como consignó el equipo de Bombadil Systems.

Por su parte, el centro de coordinación CERT emitió una advertencia para operadores y usuarios de sistemas afectados, instando a actualizar sus procedimientos y herramientas de análisis. CERT aconsejó a los proveedores de antivirus que no basen el reconocimiento de amenazas únicamente en los metadatos de los archivos declarados, pues para explotar la vulnerabilidad, los atacantes recurren justamente a modificar esa información esencial.

La preocupación expresada por expertos tanto de Bombadil Systems como de CERT responde a la capacidad de la técnica para evadir los sistemas tradicionales de defensa digital, lo que dificulta la prevención y contención del malware empacado con ‘Zombie ZIP’. El informe completo, publicado por Bombadil Systems, pone en relieve la necesidad de que las compañías de seguridad informática revisen y refuercen la forma en que sus soluciones tratan los archivos comprimidos en formato ZIP, para reducir el margen de exposición ante nuevas variantes de ataques como este.