'Zombie ZIP', la nueva técnica que permite esconder 'malware' en archivos ZIP y engañar a los antivirus

Con nombre 'Zombie ZIP' se ha convertido en la forma estrella de disfrazar archivos maliciosos dentro de un paquete comprimido que, para cualquier programa de ciberseguridad, parece totalmente inofensivo. 

De forma simple, aprovecha la forma en que los ordenadores leen la información para hacer que el malware no sea visto, camuflado como si fuera un archivo más de la carpeta.

Chris Aziz, un investigador de seguridad de Bombadil Systems, ha sido quien ha descubierto esta nueva técnica, poniendolo a prueba contra 51 de los antivirus más usados. El resultado habla por sí solo y solo uno consiguió indentificar que algo no iba bien en ese archivo ZIP.

En el resto, si bien el software de seguridad analiza al archivo, no ve virus alguno y da luz verde para que lo abras, pensando que todo está correcto.

IPTV piratas en 2026: una nueva operación internacional revela fraudes, robos de datos y negocios multimillonarios

Para un atacante, esto es el paraíso, porque crea una especie de malware fantasma. Si intentas abrir ese archivo con WinRAR o 7-Zip, lo más probable es que te dé error o te diga que el archivo está corrupto. 

Que tu antivirus lo pase por alto es simple. Estos están creados para ser rápidos, así que cuando encuentran un archivo comprimido como un ZIP, leen la etiqueta que dice qué tipo de compresión utiliza.

En el caso del 'Zombie ZIP', el atacante le dice al antivirus que el archivo es datos crudos, es decir, sin comprimir, cuando en realidad está comprimido con el método de siempre. Al creer que son datos crudos, el antivirus analiza el archivo esperando texto o código plano, ve algo que no tiene sentido porque está comprimido y te informa que no es un virus y simplemente es basura.

Aquí es donde entra la parte más inteligente de todo este proceso. Lo normal es que, al ver el error, tú creas que simplemente es un archivo que está mañ y lo borres, pero el atacante no necesita que lo abras con un programa como estos. Su código malicioso utiliza un cargador específico que consigue extraer el virus perfectamente.

Google alerta: 90 vulnerabilidades zero-day fueron explotadas por ciberdelincuentes en 2025

CERT/CC ha lanzado una advertencia oficial asignándole el código CVE-2026-0866

Aunque puede parecer un virus más, lo cierto es que las alertas no han tardado en saltar. Lo curioso es que esto no es una nueva vulnerabilidad, sino un error que ya se vio hace más de 20 años. El problema es que parece que la historia se repite. Los motores de los antivirus todavía pueden ser engañados con trucos absurdos que se basan en una mala gestión de la estructura de los archivos. 

La solución que proponen desde el CERT es que las herramientas de seguridad dejen de ser tan confiadas. Los programas que analizan tus archivos deben dejar de creerse lo que dicen las etiquetas y empezar a mirar qué hay realmente dentro. 

Mientras tanto, el investigador Aziz ha publicado pruebas del concepto en GitHub, lo que significa que cualquiera con no muy buenas intenciones puede intentar replicar el método para ver si un determinado antivirus está entre los que todavía no han actualizado su sistema de detección.