Una falla crítica permite que archivos ZIP manipulados evadan el 95 % de los antivirus en Windows. El CERT Coordination Center publicó el hallazgo el 9 de marzo de 2026. La vulnerabilidad, denominada Zombie ZIP (CVE‑2026‑0866), afecta equipos con Windows 10 y versiones posteriores. Chris Aziz de Bombadil Systems descubrió la técnica.

Lo nuevo: El ataque manipula los campos de método y CRC dentro del archivo ZIP para declarar que el contenido no está comprimido. El descompresor nativo de Windows ignora la inconsistencia, extrae los datos directamente y permite que el código malicioso se ejecute sin escanearse.

Por qué importa: Los motores de detección confían en la coincidencia de firmas y en la validación de encabezados. Cuando el encabezado indica «sin compresión», el escáner omite el análisis profundo. Pruebas con 66 muestras en VirusTotal mostraron que la tasa de detección cae de 82 % a 1,5 %. Cisco informó que ClamAV tampoco puede escanear este tipo de archivo.

Los detalles: 7‑Zip y WinRAR rechazan el archivo por considerarlo dañado. El extractor de Windows lo abre sin restricciones. Los atacantes pueden incluir un loader alternativo que ignore los metadatos y lance el payload. Esta capacidad amplía la superficie de ataque en entornos corporativos donde los usuarios confían en los extractores nativos.

Qué hacer ahora: Los administradores deben tratar cualquier archivo ZIP que arroje errores de «método no soportado» o CRC como sospechoso. Descarga archivos solo de fuentes verificadas. Valida la integridad con herramientas de hash antes de abrir. Emplea escáneres secundarios que analicen el contenido sin confiar en los encabezados. Configura políticas de restricción de ejecución para archivos comprimidos recibidos por correo o descargados de sitios desconocidos. Mantén el sistema operativo y el antivirus actualizados.

Qué sigue: Los proveedores de antivirus están actualizando sus firmas para detectar archivos ZIP con metadatos inconsistentes. Microsoft no ha emitido un parche oficial. Mientras tanto, la detección dependerá de análisis heurístico y de comportamiento en lugar de validación de encabezados. Se espera que las actualizaciones de seguridad lleguen en las próximas semanas.