✨︎ Resumen (TL;DR):
- Adobe liberó una actualización urgente para Acrobat tras detectar ataques activos mediante PDFs maliciosos.
- La vulnerabilidad CVE-2026-34621 alcanza un nivel de gravedad de 9.6 sobre 10.
- Los ciberdelincuentes perfilaron sistemas informáticos desde noviembre de 2025 sin ser detectados.
Adobe publicó este sábado una actualización de seguridad de emergencia para bloquear una vulnerabilidad zero-day crítica en Acrobat y Reader. La falla permitió a ciberdelincuentes comprometer sistemas Windows y macOS durante meses utilizando documentos PDF manipulados. La compañía solicitó a todos los usuarios afectados instalar el parche en un plazo máximo de 72 horas.
La vulnerabilidad, registrada bajo el identificador CVE-2026-34621, es un error de contaminación de prototipos que registra una calificación de gravedad de 9.6 sobre 10. Según el boletín de seguridad APSB26-43, basta con que la víctima abra un archivo infectado para detonar la ejecución de código arbitrario.
Haifei Li, fundador de la plataforma de detección de exploits EXPMON, hizo público el descubrimiento el 7 de abril, tras detectar un PDF sospechoso el 26 de marzo. La investigación de Li determinó que la campaña llevaba operando al menos desde finales de noviembre de 2025, fecha en la que el primer archivo malicioso, llamado “Invoice540.pdf”, apareció en VirusTotal.
Espionaje corporativo y robo de datos
El exploit abusa de dos APIs de JavaScript exclusivas de Acrobat (util.readFileIntoStream y RSS.addFeed) para leer archivos locales, extraer información y enviarla a servidores controlados por los atacantes. En lugar de instalar una carga de inmediato, los delincuentes evalúan si la computadora objetivo es valiosa antes de lanzar un ataque de segunda fase capaz de ejecutar código remoto o evadir el sandbox.
“Tal mecanismo permite al actor de amenazas recopilar información del usuario, robar datos locales, realizar un ‘fingerprinting’ avanzado y lanzar ataques futuros”, detalló Li.
El investigador Giuseppe Massaro analizó las muestras y detectó que los PDFs empleaban documentos en ruso renderizados como imágenes. Estos señuelos contenían advertencias falsas sobre cortes de gas, lo que indica que los ataques apuntaban a empleados de gobierno, energía e infraestructura crítica de habla rusa.
Adobe asignó al parche una Prioridad 1, su nivel máximo de urgencia. La solución cubre las versiones de Acrobat Reader 24.001.30356, 26.001.21367 y anteriores. Los equipos de TI que no puedan actualizar de inmediato deben ejecutar tres acciones inmediatas:
- Desactivar la ejecución de JavaScript en Adobe Reader.
- Abrir los PDF dudosos en visores alternativos que ignoren las APIs de Adobe.
- Bloquear a nivel de red el tráfico HTTP/HTTPS que contenga la cadena “Adobe Synchronizer” en su encabezado User-Agent.
La gravedad de este incidente demuestra el riesgo directo que asumen las empresas al ignorar parches críticos frente a campañas de ciberespionaje silenciosas.
