La mayoría de los equipos de seguridad analizan los archivos de forma incorrecta
Si preguntas a la mayoría de los equipos de seguridad cómo gestionan los archivos ZIP que reciben, obtendrás siempre la misma respuesta: «Los analizamos». Lo que quieren decir es que su solución antimalware o EDR lee la cabecera del archivo comprimido, extrae el contenido y busca amenazas conocidas. El problema es que la mayoría de los motores de análisis confían en la información que el propio archivo comprimido proporciona sobre sí mismo. Los atacantes llevan años sabiendo cómo aprovechar esa suposición.
A principios de 2026, unos investigadores publicaron los detalles de una técnica denominada «Zombie ZIP» (registrada como aviso CERT/CC VU n.º 976247 y CVE-2026-0866), en la que se demostraba cómo un archivo ZIP malformado deliberadamente puede eludir el 98 % de los motores antimalware. La evasión no requiere exploits de día cero ni herramientas de nivel estatal. Solo requiere un editor hexadecimal y comprender lo impreciso que es el análisis de los metadatos de los archivos por parte de la mayoría de las herramientas de seguridad.
¿Qué es Zombie ZIP?
Zombie ZIP es una técnica de evasión que aprovecha una inconsistencia estructural en el formato de archivo ZIP. En lugar de basarse en una vulnerabilidad de una aplicación o un sistema operativo concretos, hace uso indebido de la propia especificación ZIP para crear una discrepancia entre la estructura declarada del archivo y su contenido real, lo que le permite eludir los escáneres en todas las plataformas.
Un archivo ZIP estándar utiliza un campo de encabezado denominado «Método de compresión» para indicar cómo se codifican los datos almacenados. Un valor de «Método=0» especifica que los datos se almacenan sin comprimir, mientras que «Método=8» indica compresión DEFLATE. Un archivo ZIP «zombi» establece deliberadamente este campo en «Método=0», aunque la carga útil siga estando comprimida con DEFLATE. La suma de comprobación CRC-32 se calcula sobre los datos sin comprimir, y no sobre los bytes comprimidos que se almacenan realmente en el archivo.
El resultado es un archivo cuya estructura declarada no se corresponde con su contenido real. La mayoría de las herramientas de seguridad carecen de un mecanismo para validar esa discrepancia.
Cómo lleva a cabo Zombie ZIP la evasión
Cuando un escáner de seguridad detecta un archivo ZIP «zombi», lee el método de compresión indicado en el encabezado, trata la carga útil como bytes sin comprimir y analiza dichos bytes en busca de firmas maliciosas conocidas. Dado que la carga útil está comprimida en realidad con el formato DEFLATE, el escáner lee datos comprimidos de alta entropía que no coinciden con ninguna firma. Por lo tanto, emite un veredicto de «limpio» y deja pasar el archivo.
El cargador del atacante en el sistema de destino funciona de manera diferente. Ignora el campo de método declarado, descomprime a la fuerza el flujo de datos como DEFLATE y recupera la carga útil en su totalidad.
- El atacante configura el encabezado ZIP con Method=0 (STORED), mientras que la carga útil real sigue comprimida con DEFLATE. La suma de comprobación CRC-32 también se ha alterado deliberadamente.
- El escáner antivirus o EDR lee «Method=0», trata la carga útil como bytes sin procesar, solo detecta ruido comprimido, no encuentra ninguna firma y devuelve un veredicto de «limpio».
- Un cargador personalizado controlado por el atacante ignora el método declarado, descomprime a la fuerza el flujo DEFLATE y recupera la carga útil completa para su ejecución.
- La carga útil se ejecuta en el dispositivo final —ya sea ransomware, un RAT o un programa de robo de credenciales— mientras que todos los escáneres de perímetro han detectado el archivo como limpio. No se genera ninguna alerta.
La mayoría de los motores de análisis confían ciegamente en los metadatos de los archivos comprimidos. Procesan lo que el propio archivo declara que es, y no lo que realmente contiene. Esta suposición va mucho más allá del formato ZIP y es lo que aprovechan los atacantes en múltiples formatos de archivo comprimido.
El formato declarado no coincide con el formato real
Zombie ZIP es un ejemplo de una clase de ataques más amplia conocida como «confusión de formatos». Los atacantes suelen:
- Cambiar el nombre de los archivos ejecutables con extensiones inofensivas (de .exe a .pdf, de .js a .txt)
- Incrustar archivos poliglotas que sean válidos simultáneamente en dos formatos diferentes
- Utiliza formatos de archivo poco conocidos o obsoletos (RAR4, ACE, ARJ, 7z con encabezados no estándar) que muchos escáneres ignoran por completo
- Anida archivos dentro de otros archivos para agotar los límites de recursividad del escáner
- Alterar los metadatos lo justo para que el archivo no se pueda escanear, lo que hace que muchas herramientas ignoren el archivo en silencio en lugar de bloquearlo
Cada una de estas técnicas aprovecha la misma vulnerabilidad fundamental: basarse en lo que el archivo declara ser, en lugar de realizar una verificación exhaustiva de su estructura real.
¿Qué pasa cuando se cuela?
CERT/CC VU#976247 reconoce oficialmente que la capa de análisis de archivos presenta una vulnerabilidad estructural que ya está siendo aprovechada en campañas activas de ransomware y RAT.
Un archivo ZIP «zombi» que supera la inspección perimetral puede introducir un dropper de ransomware, una herramienta de acceso remoto o un programa de recolección de credenciales en un terminal sin activar ninguna alerta. En sectores en los que los archivos cruzan constantemente los límites de confianza —como los servicios financieros que procesan documentos de clientes, los sistemas sanitarios que reciben formularios de seguros y los organismos públicos que gestionan las solicitudes de los contratistas—, la exposición es continua y pasa desapercibida con los análisis convencionales.
Cómo detectar y prevenir los archivos ZIP «zombi»
Detectar un archivo con formato incorrecto es útil, pero la detección por sí sola no basta. La respuesta más eficaz es la reconstrucción del archivo como parte de un proceso de limpieza.
En lugar de dar por bueno el archivo tal y como se recibe, la plataforma extrae su contenido en un entorno controlado, revisa cada archivo extraído y vuelve a crear un archivo limpio a partir del contenido verificado. El resultado se genera desde cero con metadatos precisos y bien estructurados.
Este enfoque elimina el vector de ataque «Zombie ZIP». No hay ningún encabezado malformado que pueda engañar al escáner, ya que el encabezado lo genera el motor de saneamiento. Es irrelevante si el archivo original declaraba Method=0 o utilizaba compresión DEFLATE, ya que la reconstrucción requiere primero una extracción correcta. Si la carga útil no puede extraerse mediante un descompresor que cumpla con los estándares, se bloquea y no se deja pasar.
Prevención por capas con OPSWAT MetaDefender Core™
Para hacer frente a los ataques de tipo «Zombie ZIP» y a la confusión de formatos se necesita algo más que un único método de inspección. MetaDefender Core tres tecnologías de forma secuencial: detección de tipos de archivo, extracción de archivos comprimidos y tecnología Deep CDR™. Cada una de ellas aborda una dimensión diferente de la amenaza y, juntas, cubren las lagunas estructurales que el análisis basado en firmas no puede subsanar.
La detección del tipo de archivo es el primer paso de la verificación. En lugar de basarse únicamente en la extensión o el encabezado declarados, analiza la estructura real de bytes del archivo mediante el análisis de bytes mágicos, el análisis sintáctico sensible al formato y un modelo de IA entrenado para identificar tipos falsificados o que no coinciden. En un archivo ZIP «zombi», el valor declarado «Method=0» es estructuralmente incompatible con el contenido de alta entropía de la carga útil comprimida, y esa discrepancia se puede detectar en esta fase.
La extracción de archivos procesa el flujo de datos real en lugar de basarse en los metadatos declarados. O bien extrae correctamente el contenido para el análisis de cada archivo, o bien marca el archivo como no extraíble debido a una discrepancia en el CRC. Una política configurable determina si los fallos en la extracción dan lugar a un bloqueo en lugar de a una ejecución silenciosa.
La tecnología Deep CDR™ desinfecta cada archivo extraído y reconstruye el archivo a partir del resultado verificado. Elimina el contenido activo potencialmente malicioso, como macros, scripts incrustados y código de explotación, al tiempo que conserva la funcionalidad del documento. El archivo resultante es generado íntegramente por el motor de desinfección, por lo que no hereda ninguna estructura defectuosa del original.
Puntos clave
- Comprueba el tipo de archivo antes de iniciar el análisis. Zombie ZIP se aprovecha de la suposición de que el tipo de archivo declarado coincide con el tipo de archivo real. La detección del tipo de archivo detecta la discrepancia estructural antes de que se ejecute cualquier análisis de firmas.
- Extrae el archivo antes de tomar una decisión. Escanear un archivo comprimido sin extraer su contenido significa escanear el contenedor, no el contenido. La extracción del archivo comprimido permite ver lo que hay realmente dentro para poder inspeccionar cada archivo por separado.
- Reconstruye, no te limites a inspeccionar. La tecnología Deep CDR™ desinfecta cada archivo y reconstruye el archivo comprimido desde cero. El resultado no presenta estructuras defectuosas, ya que no se conserva ninguno de los metadatos del archivo comprimido original.
- El fallo en la extracción debe considerarse una condición de bloqueo. Un archivo ZIP «zombi» que no pueda ser extraído por un descompresor que cumpla con los estándares debe bloquearse y marcarse, y no pasarse por alto como si se tratara de un archivo dañado.
- Configura tu plataforma, no solo tus firmas. Los archivos ZIP «zombis» están diseñados para eludir los análisis basados en firmas. La solución pasa por configurar un flujo de trabajo que obligue a la extracción, la verificación del tipo de archivo y la limpieza en cada punto por el que los archivos entren en el entorno.
