Cómo revisar un archivo ZIP antes de abrirlo
Los archivos comprimidos son una forma conveniente de enviar múltiples documentos en un solo adjunto. Pero también son el escondite favorito de los atacantes para evadir filtros de seguridad y entregar ejecutables maliciosos directamente a tu bandeja de entrada.
¿Por qué los atacantes usan archivos ZIP?
Los archivos comprimidos ofrecen varias ventajas para un atacante:
- Ocultan el contenido real: muchos filtros de correo analizan los adjuntos por su extensión. Un
.zippasa controles que un.exeno pasaría. - Protección con contraseña: un ZIP cifrado impide que los escáneres de seguridad del servidor de correo inspeccionen su contenido. El atacante incluye la contraseña en el cuerpo del mensaje.
- Falsa sensación de seguridad: el usuario asume que si el correo pasó los filtros, el contenido es seguro.
- Archivos disfrazados: dentro del ZIP, los archivos pueden usar doble extensión (
factura.pdf.exe) u otros trucos.
¿Qué puede esconderse dentro de un ZIP?
- Ejecutables disfrazados: archivos como
documento.pdf.exeque parecen documentos pero son programas - Scripts maliciosos: archivos
.bat,.cmd,.ps1,.vbso.jsque ejecutan comandos en tu sistema - Documentos con macros: archivos
.docmo.xlsmcon macros maliciosas - Accesos directos maliciosos: archivos
.lnkque ejecutan comandos al abrirlos - Imágenes de disco: archivos
.isoque montan contenido ejecutable
Cómo revisar un ZIP manualmente
En Windows
- Haz clic derecho sobre el archivo ZIP
- Selecciona "Abrir con" > "Explorador de Windows" (no lo extraigas todavía)
- Revisa los nombres y extensiones de todos los archivos contenidos
- Activa la visualización de extensiones: Vista > Extensiones de nombre de archivo
En Linux
# Listar contenido sin extraer
unzip -l archivo.zip
# Para archivos RAR
unrar l archivo.rar
En macOS
# Listar contenido sin extraer
zipinfo archivo.zip
Qué buscar
- Archivos con doble extensión (
nombre.pdf.exe) - Extensiones ejecutables (
.exe,.bat,.cmd,.scr,.ps1,.js,.vbs) - Archivos
.lnk(accesos directos) - Un solo archivo dentro del ZIP que es un ejecutable (la compresión no tiene sentido para un solo archivo, salvo para evadir filtros)
Cómo lo maneja BrisaMail
BrisaMail no espera a que descargues y revises manualmente el archivo. Cuando detecta un adjunto comprimido, automáticamente:
- Inspecciona archivos ZIP: lee el directorio del archivo comprimido para obtener la lista de archivos contenidos sin necesidad de extraerlos.
- Inspecciona archivos RAR: utiliza decodificación RAR para listar el contenido del archivo.
- Analiza cada entrada: verifica cada archivo dentro del comprimido buscando ejecutables disfrazados (doble extensión) y extensiones peligrosas.
- Marca las amenazas: si encuentra archivos peligrosos dentro del comprimido, muestra una alerta roja con los nombres específicos de los archivos problemáticos.
- Detecta archivos no inspeccionables: si el archivo está protegido con contraseña o su formato no permite la inspección, BrisaMail advierte que no pudo verificar el contenido y recomienda precaución adicional.
Todo esto ocurre de forma transparente al visualizar el mensaje, antes de que interactúes con el adjunto.
El caso de los ZIP con contraseña
Los archivos ZIP protegidos con contraseña merecen atención especial. Es una técnica tan común en campañas de malware que se ha convertido en una señal de alerta por sí misma:
- El atacante envía un ZIP cifrado y la contraseña en el cuerpo del mensaje
- El cifrado impide que los escáneres del servidor analicen el contenido
- El usuario confía en que "si me dieron la contraseña, es legítimo"
Si recibes un ZIP con contraseña de un remitente desconocido o inesperado, trata el archivo con la máxima sospecha.
Conclusión
Revisar el contenido de un archivo comprimido antes de extraerlo es un hábito de seguridad fundamental. Pero es aún mejor cuando tu cliente de correo hace esa inspección por ti de forma automática, alertándote de los riesgos antes de que tomes una decisión.