[completo] [2026] ¿Infección solo por abrir un PDF? La historia completa del ataque de día cero a Adobe Reader (CVE-2026-34621)

Este artículo ofrece una explicación detallada del mecanismo, las contramedidas y los indicadores de riesgo (IOC) del ataque de día cero a Adobe Reader (CVE-2026-34621), descubierto en abril de 2026. Esta vulnerabilidad extremadamente peligrosa permite a los atacantes robar información del PC e incluso controlar un ordenador de forma remota con tan solo abrir un archivo PDF.

 

¿Qué es un ataque de día cero?

Un ataque de día cero es un ciberataque que explota vulnerabilidades que los fabricantes de software aún desconocen o para las que no han publicado parches. El nombre "día cero" proviene del hecho de que no transcurren días entre el descubrimiento de la vulnerabilidad y el tiempo que tarda el fabricante en solucionarla. Tiene su origen en el significado de "ser".

Cuando se explota una vulnerabilidad de día cero, los usuarios no pueden tomar las medidas defensivas habituales de aplicar parches de seguridad, lo que dificulta enormemente la protección con un software antivirus convencional. El ataque de día cero a Adobe Reader (CVE-2026-34621), descubierto en abril de 2026, es un ejemplo típico de esto. El ataque se ejecuta automáticamente con solo abrir el archivo PDF. Este caso está atrayendo la atención por ser extremadamente peligroso.

 

Tabla de contenido

1. Resumen del incidente: Un ataque de día cero que permaneció latente durante más de cuatro meses.
2. Mecanismo de ataque: Una cadena de ciberataques completada en 3 etapas
3. También se descubrió una segunda variante: los atacantes continuaron actualizando su versión.
4. ¿Quiénes son los destinatarios? El idioma ruso y la industria del petróleo y el gas son palabras clave clave.
5. ¿Qué es CVE-2026-34621? Es el número de identificación oficial de la vulnerabilidad.
6. Lista de IOC (Indicadores de Infracción): Datos utilizables para el monitoreo interno.
7. Acciones que puedes realizar ahora mismo: Qué hacer hasta que se publique el parche
8. Reacciones en línea: Voces de investigadores de seguridad
9. Preguntas frecuentes (FAQ)
10. Referencias y fuentes

 

1. Resumen del incidente: Un ataque de día cero que permaneció latente durante más de cuatro meses.

 

7 de abril de 2026, Sistema de detección de exploits tipo sandbox "EXPMON" Fundador de una empresa de investigación de seguridad. Haifei Li Reveló una vulnerabilidad de día cero sin parchear (posteriormente registrada como CVE-2026-34621) en el motor JavaScript de Adobe Reader.

Los primeros indicios de un ataque que explotaba esta vulnerabilidad se registraron en VirusTotal en 2018. 28 de noviembre de 2025 Y hasta marzo de 2026, cuando fue descubierto, al menos Aproximadamente 4 meses o más Se ha descubierto que este ataque de día cero continuó sin ser detectado en todo el mundo durante un período de tiempo considerable.

Un aspecto destacable es la baja tasa de detección inicial en VirusTotal. 5/64 La tasa de detección fue extremadamente baja. Debido a que incorporaba técnicas avanzadas de ofuscación y capacidades para evadir entornos aislados, los antivirus convencionales lo consideraban prácticamente inofensivo.

 

 

2. Mecanismo de ataque: Una cadena de ciberataque completada en 3 etapas

 

La característica más distintiva de este ataque de día cero es El ataque comienza automáticamente en el momento en que el usuario abre el PDF. Eso es todo. No se requieren acciones adicionales, como hacer clic en enlaces o conceder permisos para ejecutar macros.

El ataque se desarrolla en las siguientes tres etapas (fases):

 

Fase 1: Inicio del cargador (ejecución automática)

Campos de formulario ocultos en PDF ( btn1 ) incrustado en, JSFuck Este código JavaScript ofuscado se activa automáticamente al abrir el PDF. Descodifica una gran cantidad de código codificado en base64 y luego lo ejecuta tras un retraso de 500 milisegundos (para evitar el aislamiento del sistema).

 

Fase 2: Toma de huellas dactilares (Investigación del objetivo)

El código de ataque explota la API de Adobe Reader para recopilar la siguiente información del dispositivo infectado: La versión exacta del sistema operativo ( ntdll.dll (Obtenido mediante análisis binario) Versión de Adobe Reader Configuración de idioma e información de la plataforma Desinstalar el software antivirus Ruta local del archivo PDF Toda esta información es RSS.addFeed() Se envía a través de la API a un servidor C2 (servidor de comando y control) controlado por el atacante. El User-Agent en el momento de la transmisión es "Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533)" Este proceso se disfraza como un proceso legítimo de Adobe y está diseñado para eludir la monitorización normal de la red.

 

Fase 3: Ataque subsiguiente (condicional)

El servidor C2 selecciona los objetivos en función de la información recopilada. Solo se atacan los dispositivos que cumplen los criterios del atacante. Cifrado AES-CTR + compresión zlib Esto entrega una carga útil JavaScript adicional. Esta carga útil subsiguiente es: Ejecución remota de código (RCE) Esto podría escalar a un escenario de escape de la zona de pruebas (SBX, por sus siglas en inglés). Por otro lado, para entornos de pruebas, simplemente devuelve // ​​(un comentario JS vacío) para evitar el análisis. En un experimento de verificación realizado con el propio servidor de Haifei Li, el código JavaScript devuelto por C2 se ejecutó efectivamente en Adobe Reader. sistema32 Se ha confirmado que puede leer archivos PNG en un directorio y enviarlos a un servidor externo. Incluso sin una RCE posterior, El robo de archivos se completa únicamente en las fases 2 y 3. Esto ha sido demostrado.

 

 

3. También se descubrió una segunda variante: los atacantes continuaron actualizando su versión.

8 de abril de 2026, Investigador de seguridad Greg Lesnewich @greglesnewich ha descubierto una nueva variante.

investigador N3mes1s Según el detallado informe forense publicado por él en GitHub, una comparación entre v1 (prototipo) y v2 (producción) reveló que los atacantes habían realizado las siguientes mejoras continuas:

• Mejora adicional de la ofuscación del código
• Limitar el rango de sistemas operativos objetivo (eliminando la compatibilidad con Windows 7)
• Rote periódicamente la infraestructura de servidores C2.

Además, los registros del servidor C2 muestran un punto final /s12 que parece ser para Adobe Reader v25.x, El desarrollo de la versión 3 está en marcha. Se ha sugerido que este podría ser el caso.

 

4. ¿Quiénes son los destinatarios? El idioma ruso y la industria del petróleo y el gas son palabras clave clave.

investigador Gi7w0rm Según su análisis, el PDF señuelo utilizado en el ataque estaba escrito en ruso y su contenido era: Acontecimientos actuales relacionados con la industria petrolera y gasística de Rusia. Se ha revelado que hizo mención de ello.

El análisis forense de N3mes1s identificó dos tipos de muestras.

 

muestra	Contenido del documento señuelo	objetivo putativo
Muestra 1 (54077a5b)	Procedimientos para responder a las interrupciones del suministro de gas, los riesgos para la seguridad de los trabajadores, la cooperación con las autoridades locales y las notificaciones públicas (en ruso).	Empresas energéticas y operadores de infraestructuras críticas
Muestra 2 (65dca34b)	Acuerdos y contratos interorganizacionales con domicilio en Moscú (en ruso)	Agencias gubernamentales y organizaciones privadas de habla rusa

Todos los metadatos del PDF /Idioma (en-US) Los ajustes se configuran de la siguiente manera, y la herramienta de creación es la biblioteca de Python. PyMuPDF El título se anonimizó intencionadamente como "Página en blanco". N3mes1s afirmó que este ataque fue llevado a cabo por él mismo. "Espionaje sofisticado llevado a cabo por grupos patrocinados por estados o por APT (Amenazas Persistentes Avanzadas)." Eso es lo que han dicho.

 

5. ¿Qué es CVE-2026-34621? El número de identificación oficial de la vulnerabilidad.

CVE-2026-34621 Este es el número de identificación oficial asignado a la vulnerabilidad de día cero en el motor JavaScript de Adobe Reader, descubierta recientemente. CVE (Common Vulnerabilities and Exposures) es un marco de referencia internacional para la identificación y el seguimiento unívocos de vulnerabilidades.

Esta vulnerabilidad Todas las versiones de Adobe Reader, incluida la última versión. Se ha confirmado su eficacia para solucionar el problema y se ha notificado a Adobe. Al momento de redactar este informe (abril de 2026), aún no se había publicado una solución oficial, pero Adobe ya ha lanzado una solución de emergencia. Los usuarios que aún no hayan aplicado el parche deben actualizar a la última versión lo antes posible.

 

 

6. Lista de COI (Indicadores de Infracción): Datos utilizables para el monitoreo interno.

Al registrar los siguientes indicadores de compromiso (IOC) en su firewall, EDR y SIEM, podrá detectar y bloquear este ataque de día cero.

 

tipo	valor	comentarios
Dirección IP de C2	169.40.2.68:45191	Muestra v1 (Letonia, VEESP)
Dirección IP de C2	188.214.34.20:34123	Muestra v2 (Chipre, EDIS GmbH)
dominio	ado-read-parser.com / zx.ado-read-parser.com	Registrado el 6 de febrero de 2025, detección de VT 0/94
Agente de usuario	Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533)	Disfrazado como un proceso de Adobe
SHA-256 (v1)	54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f	Factura540.pdf (VT 6/77)
SHA-256 (v2)	65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7	Detectado por EXPMON (VT 5/64)
Clave de registro	HKCU\SOFTWARE\Microsoft\Windows\VersiónActual\Ejecutar\Sincronizador de Adobe Reader	Mecanismo de persistencia
ID de campaña	422974 (v1) / 319988 (v2)	El parámetro URL C2 &od= contiene

 

7. Acciones que puedes realizar ahora mismo: Qué hacer hasta que se publique el parche.

Monitoreo de red

Acrobat.exe y AcroRd32.exe La configuración más eficaz consiste en detectar y bloquear las solicitudes HTTP que contengan "Adobe Synchronizer" en el User-Agent procedentes de comunicaciones externas, tratándolas como si se enviaran a servidores distintos de los servidores oficiales de Adobe. &od=422974 o &od=319988 Por favor, configure también alertas para las solicitudes que incluyan [esto].

Protección de endpoints

Del proceso de Adobe ntdll.dll o Bootsvc.dll Por favor, agregue una regla para detectar accesos inusuales a archivos en [ubicación]. Además, AdobeCollabSync.exe Recomendamos configurar una alerta para cuando el sistema intente conectarse a una red externa.

Capacitación de usuarios y soporte operativo

• No abra archivos PDF de remitentes desconocidos o que no reconozca (tenga especial cuidado si el nombre del archivo está disfrazado de factura o contrato).
• Deshabilitar la ejecución de JavaScript en Adobe Reader en terminales de trabajo (depende del entorno)
• Bloquee la dirección IP y el dominio del IOC mencionado anteriormente mediante un cortafuegos o un servidor proxy.
• Supervisamos continuamente los avisos de seguridad oficiales de Adobe y aplicamos los parches inmediatamente después de su publicación.

8. Reacciones en línea: Voces de investigadores de seguridad

Tras el descubrimiento de este ataque de día cero, se han expresado diversas opiniones dentro de la comunidad de seguridad.

 

Toda la comunidad de seguridad "No se detectó durante más de cuatro meses." Muchos expresaron sorpresa ante esta situación, y existe una sensación generalizada de crisis: "Los EDR estándar por sí solos son insuficientes". Además, se está debatiendo activamente sobre las pruebas que sugieren la participación de grupos APT (documentos señuelo en ruso, temas relacionados con secretos de Estado).

 

9. Preguntas frecuentes (FAQ)

P. ¿Puede esta vulnerabilidad de día cero de Adobe Reader infectar una aplicación simplemente abriendo un archivo?

A. Sí. Este exploit está diseñado para ejecutarse automáticamente al abrir el PDF, sin requerir ninguna acción adicional por parte del usuario, como hacer clic en un enlace o permitir la ejecución de macros. Por lo tanto, es extremadamente peligroso.

 

P. ¿Se puede prevenir esto con un software antivirus convencional?

A. Actualmente, es extremadamente difícil prevenirlo. La tasa de detección inicial en VirusTotal es extremadamente baja, de 5/64, y debido a que incorpora técnicas avanzadas de ofuscación como JSFuck y funciones de evasión de sandbox, es muy probable que los antivirus estándar lo traten como un archivo inofensivo.

 

P. ¿Se ha publicado algún parche para la vulnerabilidad CVE-2026-34621?

Tras el descubrimiento de la vulnerabilidad, Adobe ha publicado una solución de emergencia para la vulnerabilidad de día cero (CVE-2026-34621). Los usuarios de Adobe Reader deben actualizar a la última versión de inmediato. Como medida provisional antes de aplicar el parche, recomendamos registrar los indicadores de compromiso (IOC) de este artículo en su firewall o EDR y capacitar a los usuarios sobre cómo gestionar archivos PDF sospechosos.

 

P. ¿Cómo puedo comprobar si he sido víctima de un ataque de día cero?

A. Compruebe los registros de la red interna, Acrobat.exe o AcroRd32.exe A partir de las direcciones IP (169.40.2.68, 188.214.34.20) y dominios de IOC anteriores ( ado-read-parser.com Por favor, investigue si hay algún registro de comunicación con ). Además, la clave del registro HKCU\SOFTWARE\Microsoft\Windows\VersiónActual\Ejecutar\Sincronización de Adobe Reader La presencia de la letra 'r' también es un punto a confirmar.

 

P. ¿El término "ataque de día cero" está relacionado con el drama de Netflix "Zero Day"?

A. Aunque el nombre sea el mismo, "zero day", no existe ninguna relación. La serie de Netflix "Zero Day" es un thriller político sobre ciberataques. Por otro lado, el término "ataque de día cero" que se explica en este artículo es un término real de ciberseguridad, y la vulnerabilidad CVE-2026-34621 de Adobe Reader es un caso real de ataque.

 

10. Referencias y fuentes

 

• Haifei Li (EXPMON): EXPMON detectó un sofisticado ataque de día cero basado en la identificación de vulnerabilidades dirigido a usuarios de Adobe Reader (7 de abril de 2026).
• Greg Lesnewich: Adobe explota el tráfico de PDF (GitHub Gist) (8 de abril de 2026)
• N3mes1s: Vulnerabilidad de día cero en PDF para Adobe Reader: análisis forense completo (GitHub Gist) (8 de abril de 2026)
• SecurityWeek: Un investigador afirma que Adobe Reader ha sido explotado durante meses debido a una vulnerabilidad de día cero.
• The Register: Una antigua vulnerabilidad de día cero de Adobe Reader utiliza archivos PDF para evaluar objetivos.
• Asuntos de seguridad: Un PDF malicioso revela una vulnerabilidad de día cero activa en Adobe Reader.
• The Hacker News: Vulnerabilidad de día cero en Adobe Reader explotada mediante archivos PDF maliciosos desde diciembre de 2025.

 

 

 

🔥Otros artículos interesantes que te recomendamos

 

[2026] ¿Es cierto el repentino fallecimiento de Zepa? Un resumen del anuncio, la causa de la muerte (que no se ha revelado) y los homenajes en las redes sociales.

 

[2026] ¡Felicidades, prometido! ¿Es una estafa? Un vistazo a problemas similares y la conclusión de la serie.

    

[2026] ¿Qué es Onicha? ¿Cuándo se lanzará el té de cebada "ONICHA" de Hikakin y cuánto costará?

 

[2026] ¿Qué está haciendo Takashi Kashiwabara ahora en 2026? Un resumen de su segundo matrimonio con Yuki Uchida, su pasado y sus obras más representativas.

 

[2026] ¿Quién es Nobuko Nakano? ¡Una explicación detallada de su edad, esposo, familia, rumores de cirugía plástica y juventud!

 

[2026] Ichikawa Danjuro excluye por completo a 24 comediantes: ¿Cuál es el verdadero poder de un actor de Kabuki, como se muestra en "Hazlos reír y gana 10 millones de yenes"?