El zip de la muerte: un “inocente” archivo comprimido capaz de explotar hasta colapsar tu PC con billones de datos

Enrique Pérez

Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología.LinkedIn

Cuando descomprimimos un archivo debemos llevar cuidado, ya queel resultado suele ocupar bastante más y puede dejarnos sin espacio en el ordenador. El ratio máximo de compresión de la mayoría de zips está marcado en 1032 a uno, aunque en muchas ocasiones tampoco se alcanza. Sin embargo, desde1996se tiene constancia de la existencia de las llamadas “bombas zip” o lo que se conoce popularmente como “el zip de la muerte”. Un archivo que sobrepasa este límite de descompresión e inunda nuestro ordenador con miles de millones de bytes.

¿Cómo funcionan estoszips? ¿Por qué explotan a estos niveles y en qué se basan para que haya tanta diferencia? La respuesta la debemos obtener en larecursividad y superposición de archivos.

42.zip, un archivo de aparentemente solo 42 KB

Unabomba zipes un archivo comprimido como cualquier otro. Su potencial peligro está en que es muy fácil de esconder y compartir. Pero al descomprimir es cuando colapsa el ordenador al liberar una gran cantidad de datos.

El zip de la muerte más conocido es 42.zip, un archivo con unrécord de compresión de 106.000 millones a uno. Su autor es desconocido, pero el ratio es impresionante. Estamos hablando de un archivo que pesa únicamente 42 kilobytes (de ahí el nombre) y que al descomprimirse puede alcanzar los 4.3 gigabytes. Pero la clave está en que el archivo contienecinco capas, cada una con 16 archivos. Lo que en total una vez liberados todos ocupan un total de4.5 petabytes.

Tal que así:

El famoso archivo está disponible para descargar desde lapágina web del autor. Aunque no recomendamos a nadie que lo haga, salvo que dispongáis de losconocimientos necesarios para tratarlo con seguridad.

El formato zip tiene muchas variantes aunque con el paso del tiempo se ha convertido en habitual en sistemas operativos como Windows o MacOS. Parte de la razón de la existencia de estas bombas zip es debido al algoritmo que rige la descomprensión, que permite cambios tan grandes en el tamaño. Para hacernos una idea: un archivo comprimido sería por ejemplo “LOL x 10^12”, pero al descomprimir sería “LOL, LOL, LOL…”.

Nuevas bombas zip: de 46MB a 4.5PB

Durante años, estos zips de la muerte se han utilizado básicamente como una forma de malware, como por ejemplo paraatacar sitios basados en Wordpress. Pero recientemente hemos visto nuevos estilos, más avanzados. Uno de ellos es la “bomba zip infinita”, donde lo que hace el archivo es replicarse y crear copias de sí mismo. Otro de ellos, tal y como informaVice, ha sido publicado recientemente porDavid Fifield.

Eltrabajo de Fifieldes interesante porque ha creado un zip de la muerte con una filosofía diferente al de 42.zip. Mientras que el anterior logra un ratio impresionante a base de múltiples capas, en este caso tenemos únicamente un único archivo que al descomprimir explota. Unabomba zip no recursiva que establece el ratio en 28 millones a uno.

El autor nos ofrece tres archivos de ejemplo. El primero donde pasamos de 42kB a 5.5GB, un segundo de 10MB a 281TB y un tercerode 46MB a 4.5 Petabytes, este último únicamente compatible con el formato Zip64.

Pongámonos en el caso que descargamos el archivo de 46MB. Con 42.zip teníamos que descomprimir varias veces, pero aquí es solo una vez. Un simple proceso para colapsar por completo el ordenador. ¿Cuál es la diferencia? Fifield explica que en vez de apostar por la recursividad lo que ha hecho essolapar archivos.

Los antivirus sí las detectan

Afortunadamente para la seguridad de los usuarios,esta técnica de la bomba zip es bastante conocida desde hace muchos años. Pese a que el archivo comprimido pasa desapercibido en el sistema, una vez vamos a descomprimirlo es cuando los antivirus lo detectan como un posible peligro y nos advierten antes de iniciar el proceso.

El zip de la muerte no está catalogado como un malware propiamente dicho. Pese a eso, en el caso de 42.zip detectan que hay múltiples capas por lo que puede ser dañino. Adicionalmente, como explica el investigador de seguridad de Google,Tavis Ormandy,las nuevas bombas zip no recursivas también son detectadas.

Otros ataques que colapsan el sistema con explosiones de datos

La idea detrás del zip de la muerte es similar al de otros ataques. Se trata decolapsar al sistema u ordenador en base a una gran cantidad de datos que no pueden procesar. Algunos ejemplos de este tipo de ataques serían por ejemplo losDDoS(Distributed Denial of Service). Uno muy conocido y similar en concepto sería el de"Mil millones de risas",basado en XML y donde se repite exponencialmente eluso de la palabra “LOL” al cargar el código.

Sin tratarse de ningún gusano o virus, otro ataque similar es la’bomba fork' o ‘wabbit’. En este caso, es un archivo que crea copias de sí mismo (como conejos). Una técnica de la que los usuarios de Linux tampoco se libran, ya quetambién funciona con archivos TAR.

En Xataka |Cómo evitar que los ZIP se muestren como carpetas en Windows