Zero-Day en Adobe Acrobat Reader 2026: cómo proteger tu empresa de PDFs maliciosos
Se ha confirmado la explotación activa de un zero-day en Adobe Acrobat Reader mediante PDFs maliciosos. Sin parche oficial disponible a fecha de publicación. Afecta a la versión más reciente del software.
Si tu empresa trabaja con documentos PDF a diario —y prácticamente todas lo hacen— lo que voy a contarte en este artículo es una amenaza real y activa hoy mismo. No es una vulnerabilidad teórica ni un escenario de laboratorio: es un zero-day confirmado que lleva explotándose en silencio desde al menos noviembre de 2025, y que Adobe todavía no ha parcheado.
El PDF se percibe como un formato "seguro" y cotidiano. Lo enviamos por email, lo adjuntamos en contratos, lo usamos para facturas y presupuestos. Esa confianza es exactamente lo que los atacantes están aprovechando ahora mismo.
¿Qué es exactamente este zero-day?
Un zero-day es una vulnerabilidad desconocida para el fabricante del software —o conocida pero sin solución disponible— que los atacantes aprovechan antes de que exista un parche. En este caso, la vulnerabilidad afecta al motor JavaScript de Adobe Acrobat Reader y permite que un PDF malicioso ejecute código privilegiado con solo abrirlo.
La vulnerabilidad fue detectada por el investigador de seguridad Haifei Li, fundador de EXPMON, un sistema de análisis sandbox especializado en la detección de exploits en archivos. Según los análisis publicados por SecurityWeek, The Hacker News y The Register, la campaña lleva activa desde al menos el 28 de noviembre de 2025, cuando el primer PDF malicioso fue subido a VirusTotal.
Lo que hace especialmente grave esta vulnerabilidad es que funciona en la versión más reciente de Adobe Reader, y que Adobe no ha publicado ningún parche ni comunicado oficial a fecha de publicación de este artículo.
Cómo funciona el ataque paso a paso
El mecanismo de ataque sigue una cadena de cuatro fases diseñada para maximizar la discreción y la eficacia:
-
PDF malicioso como vector de entrada
El archivo llega habitualmente por email o mensajería corporativa disfrazado de documento legítimo: una factura, un contrato, un informe sectorial. Los señuelos identificados en esta campaña están en ruso y hacen referencia al sector de petróleo y gas, aunque la infraestructura puede reutilizarse para cualquier sector o región. -
Ejecución de JavaScript ofuscado con Base64
Al abrir el archivo, el motor JavaScript de Acrobat ejecuta automáticamente código oculto dentro de objetos PDF mediante cifrado Base64. Este código pasa completamente desapercibido para los antivirus tradicionales porque se camufla dentro de la estructura legítima del documento. -
Fingerprinting del sistema víctima
Antes de actuar, el exploit analiza el entorno: sistema operativo, versión exacta de Adobe Reader, configuración de idioma y ruta local del archivo. Esta información se usa para decidir si la víctima es un objetivo de suficiente valor y para adaptar el ataque. Si el entorno es un sandbox de análisis, el exploit no actúa —lo que lo hace especialmente difícil de detectar. -
Exfiltración de datos y posible RCE
Usando dos APIs privilegiadas de Acrobat —util.readFileIntoStream() y RSS.addFeed()— el exploit lee archivos locales del sistema y los envía silenciosamente al servidor del atacante. Si el sistema es considerado un objetivo de alto valor, se despliega una segunda fase que puede incluir ejecución remota de código (RCE) y escape del sandbox (SBX), lo que equivale a control total del equipo.
¿Por qué es tan peligroso para las empresas?
Más allá de los detalles técnicos, este zero-day es especialmente preocupante en entornos empresariales por tres razones:
1. El vector de entrada es completamente rutinario
No requiere que el usuario haga clic en un enlace sospechoso, descargue un ejecutable ni introduzca sus credenciales. Basta con abrir un PDF, algo que cualquier empleado hace decenas de veces al día sin pensarlo.
2. El exploit evade los controles de seguridad convencionales
Al usar las propias APIs internas de Acrobat para operar, el comportamiento malicioso queda camuflado dentro de la actividad normal del software. Los sistemas EDR y antivirus tradicionales no detectan la amenaza porque el código se ejecuta dentro de un proceso "de confianza".
3. No existe parche y el fabricante no ha comunicado plazos
Mientras Adobe permanece en silencio, las organizaciones están completamente expuestas. Cualquier empleado que abra un PDF en Adobe Reader es un vector de ataque potencial, independientemente de lo actualizado que tenga el software.
Indicadores técnicos de compromiso (IOCs)
Para equipos de seguridad y administradores de sistemas, estos son los indicadores técnicos más relevantes identificados en la campaña:
- IP del servidor C2: 169.40.2.68 en puerto 45191
- User-Agent malicioso: cadena Adobe Synchronizer en tráfico HTTP/HTTPS saliente
- APIs abusadas: util.readFileIntoStream() y RSS.addFeed() con actividad anómala
- Comportamiento: llamadas inusuales al sistema de archivos local desde el proceso de Acrobat Reader
- Ofuscación: objetos PDF con contenido Base64 de gran tamaño en campos no estándar
Medidas de protección inmediatas
Mientras Adobe no publique un parche, estas son las medidas que puedes implementar hoy mismo para reducir significativamente el riesgo:
- Desactiva JavaScript en Adobe Acrobat Ve a Editar › Preferencias › JavaScript y desmarca "Habilitar Acrobat JavaScript". Esta es la medida de mayor impacto porque bloquea el vector principal del ataque.
- No abras PDFs de fuentes no verificadas Especialmente los recibidos por email o mensajería corporativa sin haberlos solicitado. Verifica siempre la identidad del remitente antes de abrir cualquier adjunto PDF.
- Bloquea la IP maliciosa conocida en tu red Configura tu firewall para bloquear el tráfico saliente hacia 169.40.2.68 en el puerto 45191. Esto interrumpe la fase de exfiltración de datos.
- Monitoriza el User-Agent "Adobe Synchronizer" Configura alertas en tu sistema de monitorización de red para detectar tráfico HTTP/HTTPS con este User-Agent. Su presencia es un indicador claro de compromiso.
- Usa visores alternativos o entornos aislados Para PDFs de origen dudoso, utiliza visores alternativos como el de Chrome/Firefox o abre los archivos en una máquina virtual o sandbox antes de procesarlos.
- Refuerza el filtrado de correo corporativo Implementa o revisa las reglas de análisis de adjuntos PDF en tu gateway de email. Considera añadir una capa de sandboxing específica para documentos adjuntos.
- Forma a tu equipo ahora mismo La concienciación es la primera línea de defensa. Informa a todos los empleados de esta amenaza específica y establece un protocolo claro para reportar PDFs sospechosos.
Contexto de la campaña y atribución
Los señuelos identificados hasta la fecha están redactados en ruso y hacen referencia a eventos actuales del sector de petróleo y gas en Rusia, lo que sugiere una campaña con objetivos iniciales concretos, posiblemente vinculada a espionaje industrial o geopolítico. Sin embargo, como señala el investigador Haifei Li, el mecanismo técnico puede reutilizarse fácilmente para atacar cualquier sector o región.
A fecha de publicación, Adobe no ha asignado aún un número CVE a esta vulnerabilidad, no ha publicado ningún boletín de seguridad oficial ni ha indicado plazos para un parche. La vulnerabilidad fue reportada de forma responsable a Adobe Security por el investigador Li.
Hispasec / Una Al Día · SecurityWeek · The Hacker News · The Register · Investigador Haifei Li (EXPMON)
¿Tu empresa está protegida ante esta amenaza?
Realizo auditorías de seguridad, pentesting y formación de equipos para empresas de todos los tamaños. Primera consulta sin coste. Disponibilidad inmediata.
📅 Agenda una consulta gratis 💬 WhatsApp directo
🌐 mmarcoseguridad.com · 📱 +34 656 33 93 55 · 💼 LinkedIn
Comentarios
Publicar un comentario