Entre los grupos de usuarios de software de compresión, suele existir un debate entre WinRAR y 7-Zip. Sin embargo, una vulnerabilidad subyacente expuesta recientemente ha puesto a todos los usuarios en crisis al mismo tiempo. Chris Aziz, investigador de la empresa de ciberseguridad Bombadil Systems, descubrió y expuso una grave vulnerabilidad de seguridad llamada "Zombie ZIP". Actualmente, ninguno de los 50 motores antivirus principales de VirusTotal puede reconocer archivos ZIP tan problemáticos.

Esta vulnerabilidad explota fallas en la lógica subyacente de los archivos comprimidos. No importa qué herramienta de descompresión utilice el usuario, siempre que se abra un paquete ZIP malicioso especialmente manipulado y se haga clic en los archivos que contiene, el hacker puede ejecutar el código y tomar el control del sistema.

El núcleo de esta vulnerabilidad reside en la falsificación de encabezados de archivos ZIP. Las investigaciones señalan que la mayoría de los motores antivirus confían ciegamente en el campo "Método" (método de compresión) de los paquetes comprimidos cuando los analizan.

El pirata informático configuró deliberadamente este campo en 0, que representa el estado sin comprimir, lo que induce al motor antivirus a pensar que el archivo está en el modo de almacenamiento original y se salta el análisis de descompresión. Sólo se lee un montón de "ruido de compresión" confuso y la firma del programa malicioso arrastrado no se puede identificar en absoluto.

Al mismo tiempo, los piratas informáticos atacaron los mecanismos de informe de errores de WinRAR, 7-Zip y otras herramientas estableciendo deliberadamente el valor de verificación CRC en el valor en el estado sin comprimir, pero incorporaron un cargador de algoritmo DEFLATE personalizado en el archivo ZIP, lo que provocó que la herramienta de descompresión ignorara directamente el encabezado del archivo falsificado y liberara el código malicioso oculto.

Este método de doble engaño logra un efecto de sigilo casi perfecto. El software antivirus juzga mal que el archivo es seguro, la herramienta de descompresión libera el programa malicioso normalmente y el usuario hace clic para ejecutarlo y es engañado.

El Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas (CERT/CC) ha asignado a la vulnerabilidad el número CVE-2026-0866, señalando que es muy similar a la vulnerabilidad CVE-2004-0935 que afectó a los primeros software antivirus de ESET hace más de 20 años.

CERT/CC advierte que los motores antivirus no deben confiar ciegamente en el encabezado Método de los archivos ZIP y deben verificar el campo de compresión con los datos reales y agregar un mecanismo para identificar paquetes comprimidos con estructura anormal.

Antes de que el fabricante lance un parche, los usuarios deben tener mucho cuidado al tratar con archivos ZIP de origen desconocido y no hacer clic fácilmente en ningún archivo que se encuentre dentro.