Qué es realmente una bomba de descompresión
A Código postal de la muerte-también conocido como bomba zip o bomba de descompresión-es un archivo malicioso diseñado para explotar el comportamiento fundamental de los formatos de compresión. Cuando un archivo de este tipo se descomprime, puede alcanzar un tamaño enorme, saturando los recursos del sistema y deteniendo procesos o incluso servidores enteros. Lo que hace que este ataque sea sutil y siga siendo relevante hoy en día es que abusa de la funcionalidad legítimadescompresión. Los sistemas modernos esperan que los archivos comprimidos sean inofensivos, pero una bomba zip consume silenciosamente CPU, memoria, almacenamiento o capacidad de E/S cuando se descomprime.
A diferencia del malware que ejecuta código o roba datos, un Zip de la Muerte es un arma de denegación de servicio incrustado en un archivo. Su objetivo no es el robo directo, sino agotamiento de los recursos e interrupción del servicioA menudo, estas amenazas abren la puerta a nuevas explotaciones o, simplemente, paralizan los flujos de trabajo automatizados.
Cómo funciona Zip of Death: Mecánica técnica
El clásico Zip de la Muerte aprovecha compresión recursivaLos archivos anidados comprimen conjuntos de datos cada vez más grandes en archivos aparentemente pequeños. Un ejemplo histórico famoso es el archivo "42.zip": alrededor de 42 KB de tamaño comprimido, pero descomprimido en más de 4,5 petabytes de datos.
Esto ocurre porque el diseño del formato ZIP permite referencias a contenidos de gran tamaño que sólo se materializan durante el desempaquetado. El proceso de descompresión asigna memoria y disco para todos los datos antes de devolver el control a la aplicación llamante, por lo que los sistemas que no aplican límites se quedan rápidamente sin recursos.
En los entornos modernos (canalizaciones en la nube, microservicios, sistemas CI/CD), esta explosión de recursos puede acabar no solo con un programa, sino con clústeres enteros, ya que los servicios fallan y se reinician repetidamente.
Incidentes de seguridad reales de 2025 relacionados con la manipulación de archivos o cremalleras
Aunque los ataques clásicos con bombas de descomposición son difíciles de rastrear en la naturaleza (ya que los atacantes suelen combinarlos con otras tácticas), 2025 trajo varias vulnerabilidades de alto impacto y patrones de explotación en contextos de ZIP y descompresión:
CVE-2025-46730: Tratamiento inadecuado de datos muy comprimidos
Esta vulnerabilidad, identificada en el MobSF (Mobile Security Framework), permite que un archivo del estilo zip-of-death agote el espacio en disco del servidor porque la aplicación no comprueba el tamaño total descomprimido antes de la extracción. Un ZIP manipulado de 12-15 MB puede expandirse hasta varios gigabytes al descomprimirse, lo que provoca una denegación de servicio en el servidor. Feedly
Los atacantes podrían atacar los puntos finales de carga de archivos sin activar las firmas de malware tradicionales, simplemente utilizando la descompresión para bloquear los servicios e interrumpir los flujos de trabajo de las pruebas de seguridad móvil.
Vulnerabilidades de 7-Zip explotadas activamente (CVE-2025-11001 y CVE-2025-0411)
Las bombas Zip se volvieron más peligrosas en 2025, ya que los atacantes aprovecharon fallos en herramientas de descompresión muy utilizadas como 7-Zip. Las vulnerabilidades rastreadas como CVE-2025-11001 y CVE-2025-11002 implicaban un manejo inadecuado de los enlaces simbólicos dentro de los archivos ZIP, lo que permitía a los archivos crafteados escribir archivos fuera de los directorios previstos y potencialmente ejecutar código en sistemas Windows. Ayuda a la seguridad de la red
Otro defecto relacionado, CVE-2025-0411, implicaba un desvío de Mark-of-the-Web (MoTW) que permitía a los archivos anidados eludir las comprobaciones de seguridad de Windows al ser extraídos. NHS England Digital
Ambos muestran una tendencia real de 2025: combinando el abuso de la descompresión con la mecánica del path traversal y la escalada de privilegios.convirtiendo el Zip de la Muerte en una amenaza más seria que el tradicional agotamiento de recursos.
Por qué el código postal de la muerte sigue siendo importante en 2025
Muchos profesionales de la seguridad asumen que las bombas zip son un viejo truco, detectado por las herramientas antivirus o irrelevante en los modernos entornos en la nube. Pero como demuestran incidentes recientes, el verdadero peligro reside en dónde y cómo se invoca la descompresión. Los sistemas que procesan automáticamente archivos -pasarelas de correo electrónico, ejecutores de CI/CD, procesadores de objetos en la nube y gestores de dependencias- a menudo carecen de las comprobaciones adecuadas. Esto puede dar lugar a:
- Denegación de servicio a medida que las CPU y la memoria llegan al límite.
- Interrupciones aguas abajo en cascada a través de la infraestructura distribuida.
- Fallan las herramientas de exploración de seguridad bajo carga de recursos, creando puntos ciegos. IA anormal
- Explotación de errores de análisis sintácticoincluyendo el cruce de enlaces simbólicos y el uso indebido de rutas.
Así, el Zip de la Muerte sigue siendo una amenaza relevante en sistemas de misión crítica y centrados en la automatización.
Demostración: Cómo es un Zip de la Muerte
Ejemplo de ataque 1: Creación de una cremallera simple de la muerte
A continuación se muestra un ejemplo sencillo que crea archivos anidados en los que cada capa aumenta exponencialmente el tamaño de descompresión.
bash
`#Generar datos base dd if=/dev/zero of=payload.bin bs=1M count=100
Comprimir recursivamentezip layer1.zip payload.bin
zip capa2.zip capa1.zip zip capa3.zip capa2.zip`
Este último capa3.zip puede ser sólo de unos pocos kilobytes, pero descomprimirlo ingenuamente podría suponer un gran consumo de disco y memoria.
Ejemplo de ataque 2: Anidamiento profundo para eludir comprobaciones superficiales
Los atacantes suelen incrustar zips anidados dentro de directorios para evadir simples comprobaciones de tamaño:
bash
mkdir nestedcp layer3.zip nested/ zip final.zip nested
Algunas comprobaciones ingenuas sólo tienen en cuenta final.zip tamaño comprimido, no anidado inflar el potencial.
Ejemplo de ataque 3: Disparador de bomba de descompresión CI/CD
En entornos de IC:
yaml
`#Example snippet in .gitlab-ci.yml before_script:
- descomprimir artefacto.zip -d /tmp/build`
Si artefacto.zip es un Zip de la Muerte, el agente de compilación puede bloquearse o el pipeline puede colgarse indefinidamente debido al agotamiento de recursos.
Ejemplo de ataque 4: Abuso de descompresión del gateway de correo electrónico
Los productos de seguridad del correo suelen descomprimir los archivos adjuntos para inspeccionar su contenido:
texto
Adjunto: promo.zip (75 KB)
Si el tamaño descomprimido es masivo, el motor de escaneo puede zozobrar, provocando retrasos o bloqueos en la entrega del correo.
Ejemplo de ataque 5: Explotación de una vulnerabilidad de análisis ZIP (fallo de PickleScan)
Un aviso de 2025 reveló cómo las cabeceras ZIP malformadas pueden hacer que las herramientas de análisis se bloqueen, no por agotamiento de recursos, sino por inconsistencias de análisis (provocando errores como BadZipFile). GitHub
python
with zipfile.ZipFile('malformado.zip') as z: z.open('encabezado_raro')
Esto puede eludir los controles de calidad y perturbar los sistemas automatizados de escaneado.
Estrategias de defensa contra el Zip de la Muerte
Mitigar los ataques Zip de la Muerte requiere múltiples controles superpuestos porque el problema de fondo es funcional (la descompresión en sí), no un fallo de un solo programa.
Estrategia de defensa 1: Estimación del tamaño antes de la descompresión
Compruebe el tamaño total esperado sin comprimir antes de la extracción.
python
import zipfile with zipfile.ZipFile("upload.zip") as z: total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000: # ~1GB raise Exception("Archivo demasiado grande")
Esto ayuda a evitar una expansión catastrófica.
Estrategia de defensa 2: Limitar la profundidad recursiva
Rastrea y limita la profundidad de los archivos anidados.
python
def safe_extract(zf, depth=0):
si profundidad > 3:
raise Exception("Demasiados archivos anidados")
para info en zf.infolist():
si info.filename.endswith('.zip'):
con zf.open(info.filename) como anidado:
safe_extract(zipfile.ZipFile(nested), depth+1)
Estrategia de defensa 3: aislamiento de recursos
Ejecute la descompresión en núcleos aislados o contenedores con cuotas duras para evitar afectar a los servicios del sistema:
bash
docker run --memory=512m --cpus=1 unzip image.zip
Aunque el archivo intente consumir recursos, el proceso está acotado.
Estrategia de defensa 4: Extracción de secuencias con condiciones de interrupción
En lugar de la extracción completa, gestiona las lecturas por trozos y aborta antes:
python
si bytes_extraídos > UMBRAL: abortar_extracción()
De este modo se detienen antes las expansiones descontroladas.
Estrategia de defensa 5: Actualizar las bibliotecas y herramientas vulnerables
Parchee activamente vulnerabilidades conocidas de bibliotecas de descompresión como las de 7-Zip (por ejemplo, CVE-2025-11001 y CVE-2025-0411) para evitar exploits de parseo que combinan bombas zip con traversal o ejecución de código. SecurityWeek
Tabla comparativa de vulnerabilidades del ZIP 2025
Para estructurar el panorama actual de las amenazas, he aquí una instantánea de los riesgos relacionados con el ZIP que se verán en 2025:
| Categoría de amenaza | Ejemplo | Impacto |
|---|---|---|
| Bomba de descompresión | Archivo recursivo clásico | Agotamiento de recursos, DoS |
| Exploit de análisis sintáctico | CVE-2025-46730 | Herramientas de choque / disco de relleno |
| Defectos del analizador ZIP | CVE-2025-11001 | Escrituras arbitrarias de archivos |
| MotW Bypass | CVE-2025-0411 | Evasión de controles de seguridad |
Penligent.ai: Detección automatizada de riesgos de archivo
Zip of Death y otros ataques de archivo similares no son fáciles de detectar únicamente mediante análisis estático, ya que aprovechan semántica del protocolo y comportamiento en tiempo de ejecucióny no sólo firmas de bytes conocidas. Aquí es donde las modernas plataformas de penetración automatizada como Penligent.ai brillar.
Penligent.ai utiliza fuzzing inteligente basado en IA y generación de escenarios para realizar pruebas:
- Puntos finales de carga con distintos tamaños de archivo y estructuras anidadas
- Lógica de descompresión backend para la aplicación de recursos
- Rutas de análisis sintáctico de archivos con enlaces simbólicos y cabeceras especiales
- Código de gestión de errores que podría aceptar entradas peligrosas de forma silenciosa.
Mediante la simulación de patrones de ataque reales, como el anidamiento recursivo o los ataques a cabeceras malformadas, Penligent.ai ayuda a los ingenieros a detectar y priorizar riesgos que los escáneres tradicionales pasan por alto.
En los entornos de microservicios o nativos de la nube, en los que la gestión de archivos la realizan muchos componentes independientes, este tipo de pruebas continuas y automatizadas es esencial para encontrar brechas antes de que lo hagan los atacantes.
Tendencias en ataques Zip avanzados en 2025
Aparte de las clásicas bombas de descompresión, 2025 vio explotación más matizada basada en ZIP:
- Defectos de análisis ZIP utilizados en ataques combinados (agotamiento de recursos + ejecución de código)
- Extensiones de archivo con homoglifos que burlan los filtros de seguridad
- Explotación de archivos anidados para eludir las normas de "tamaño máximo de archivo".
- Abuso del manejo de enlaces simbólicos para atravesar directorios
Estos patrones demuestran que la visión simplista de las bombas zip como desencadenantes del DOS está desfasada; las amenazas modernas mezclan fallos lógicos con ataques a los recursos.
Consideraciones jurídicas y éticas
La creación de bombas Zip en sí no siempre es ilegal: los investigadores de seguridad suelen utilizarlas como casos de prueba. Sin embargo, distribuirlas con intención maliciosa (para perturbar o acceder sin autorización) puede caer dentro del ámbito de la uso indebido de ordenadores y legislación sobre denegación de serviciocomo la CFAA estadounidense o leyes similares de otras jurisdicciones. LegalClarity
Esto subraya la importancia de gestionar la investigación defensiva de forma responsable y garantizar que las pruebas de concepto permanezcan en entornos de laboratorio seguros.
Conclusión: La cremallera de la muerte no es una reliquia, es un riesgo persistente
Incluso en 2025, entre malware avanzado y amenazas basadas en IA, el Zip de la Muerte sigue siendo relevante porque explota un supuesto fundamental en el diseño de software: que la descompresión es segura.
La automatización moderna -desde las pasarelas de correo electrónico hasta las canalizaciones en la nube- confía en los archivos comprimidos sin las comprobaciones de sanidad adecuadas. Cuando estas suposiciones fallan, servicios enteros pueden quedar fuera de línea.
Combinando defensas proactivas, manteniendo las bibliotecas parcheadas contra vulnerabilidades de análisis sintáctico y aprovechando herramientas como Penligent.ai para ataques simulados continuos, los equipos de seguridad pueden detener los ataques Zip of Death antes de que detengan sus sistemas.
