Cuando descomprimir significa destruir: El peligro oculto en archivos .zip
Hola sean bienvenidos una vez más a Código Seguro como cada viernes. Supongamos por un momento que recibimos de repente un correo electrónico. El asunto nos dice “Estado de Cuenta Listo”. Al abrirlo, encontramos un cordial mensaje acompañado de un archivo adjunto llamado “Resumen_Octubre_2025.zip”. Pesa solo 2 kilobytes, incluso comparable este tamaño al que tendría un pequeño tweet en la red social X. Confiados, hacemos clic para descomprimirlo. Y es solo en ese preciso instante, que desatamos el caos. Nuestra computadora, que momentos antes funcionaba con agilidad, se convierte en un ladrillo electrónico. El ventilador empieza a rugir como un jet, la pantalla se congela y un mensaje de error anuncia la muerte súbita del sistema operativo. No ha sido un virus tradicional. No te han robado tus datos. Has sido víctima de un ataque más sutil y devastador: una bomba ZIP. Has caído en la trampa de creer que lo pequeño es inofensivo.
Este término, que parece sacado de una película de espionaje, describe un tipo de ataque de denegación de servicio (DoS) que busca colapsar nuestros sistemas mediante la explotación de un principio aparentemente inocente: la compresión de datos. Para comprender su mecanismo, imaginemos un archivo comprimido, como una caja fuerte muy eficiente. Una bomba ZIP es, esencialmente, una caja fuerte maliciosamente diseñada que parece contener un documento pequeño y manejable, pero que en realidad oculta una cantidad casi infinita de información comprimida de manera engañosa. La técnica que se utiliza para esto se basa en la tasa de compresión de datos, que es la relación entre el tamaño del archivo original y el comprimido. Un archivo normal, como un documento de texto, podría comprimirse a la mitad de su tamaño. Una bomba ZIP, sin embargo, utiliza algoritmos para lograr tasas de compresión astronómicas, de millones a uno.
Esta no es una escena de una película de ciencia ficción, como siempre les anuncio mis estimados lectores. Es una amenaza tangible y elegantemente maliciosa que explota la confianza básica que tenemos en la tecnología. Piensa en una bomba ZIP como un agujero negro digital contenido dentro de un archivo común. Su poder no está en lo que es, sino en lo que se convierte. Los cibercriminales utilizan algoritmos de compresión perversos para empaquetar cantidades astronómicas de datos basura —patrones repetitivos de ceros y unos—en un paquete minúsculo. El archivo es como un cofre del tesoro que, al abrirse, no revela joyas, sino una avalancha infinita de piedras que lo aplastan todo a su paso.
El peligro real y disruptivo va más allá del usuario individual. Ahora bien, visualicemos esto: un hospital recibe un archivo en formato .rar aparentemente inocente, quizás disfrazado como una lista que la última donación de un proveedor de equipos médicos. Un empleado lo descarga. Al descomprimirlo, la bomba no solo paraliza su estación de trabajo, sino que satura los servidores centrales del hospital. Los sistemas de historiales médicos se vuelven inaccesibles, las agendas de cirugías se corrompen y la capacidad de diagnosticar con imágenes se bloquea. En segundos, una institución dedicada a salvar vidas se ve tecnológicamente incapacitada, no por un ataque complejo, sino por la explotación de una función aparentemente inofensiva: “Extraer aquí”.
La bomba zip más conocida, 42.zip, se expande a unos formidables 4,5 Petabytes si sus seis capas son descomprimidas recursivamente, sin embargo, en la capa superior presenta un tamaño de 0,6 MB. Los zip, como los de Ellingsen y Cox, que contienen una copia de sí mismos y, por lo tanto, se expanden infinitamente si se descomprimen recursivamente, también son perfectamente seguros para descomprimirlos una vez.
Incluso las grandes tecnológicas no son inmunes. Los servicios de correo electrónico como Gmail o Outlook, que escanean automáticamente todos los adjuntos, pudieran ser blancos perfectos. Un atacante puede enviar miles de estas bombas, de apenas kilobytes cada una, hacia los servidores de Google o Microsoft. Al intentar analizarlas, los sistemas de seguridad se ven forzados a descomprimir terabytes de datos falsos, consumiendo recursos masivos y ralentizando o incluso derribando el servicio para millones de usuarios legítimos. Es el equivalente digital de enviar un ejército de hormigas para tumbar un elefante; la fuerza no está en el tamaño individual, sino en el colapso colectivo que provocan.
Entre las técnicas más comunes que existen para lograr estos se encuentran:
- Expansión de un solo archivo: un archivo comprimido contiene datos que se expanden enormemente (por ejemplo, un archivo pequeño que se descomprime en un archivo muy grande lleno de ceros).
- Archivos recursivos: un archivo contiene docenas o miles de copias de un archivo interno, lo que produce una expansión exponencial cuando se descomprime.
- Anidamiento profundo: muchos niveles de archivos anidados fuerzan la extracción recursiva en profundidad y el agotamiento de la pila o la memoria.
- Abusos de formatos superpuestos/especiales: formatos o implementaciones con errores que permiten un crecimiento espurio o bucles infinitos durante la extracción.
¿Cómo nos defendemos de una amenaza que se esconde en la herramienta más común para compartir archivos? La paranoia controlada es la nueva norma. Desconfía radicalmente de cualquier .zip o .rar de un remitente desconocido. Los sistemas de seguridad avanzados ya no confían en lo que ven; implementan “cuarentena explosiva”, aislando y analizando estos archivos en entornos sandbox donde no pueden causar daño real. La próxima vez que veas ese pequeño icono de carpeta comprimida, detente. Pregúntate: ¿estás a punto de abrir un documento útil o estás armando una bomba con tus propias manos?
En la guerra cibernética, el paquete más pequeño puede llevar la explosión más grande. No subestimes el poder de la “nada” comprimida. Y cuando me refiero a la “nada” no estoy hablando de la famosa película la Historia sin fin. Hasta la próxima semana nos vemos. (Tomado de Cubadebate)
