No es raro encontrarnos con documentos o software distribuidos por Internet usando archivos ZIP (comprimidos) protegidos con contraseña: no sólo evitamos tener que ir adjuntando múltiples archivos por separado, sino que añadimos una capa de seguridad extra para evitar miradas no deseadas a su contenido.

Imaginaos la sorpresa cuando alguien descubre que dicha contraseña no constituye el único modo de abrir el archivo ZIP, según explica Arseniy Sharoglazov, investigador de ciberseguridad de Positive Technologies.

Y es que Sharoglazov ha demostrado que es posible que un archivo ZIP cifrado pueda ser abierto usando dos contraseñas distintas: en primer lugar, la especificada por su creador… pero también otra más. La existencia de esta última cabe atribuirla a la existencia de una teórica vulnerabilidad (o, cuanto menos, de un comportamiento inesperado) hasta ahora desconocida de esta clase de archivos ZIP.

Si tu contraseña es muy larga, el ZIP guarda otra cosa (y la lía)

Concretamente, esta vulnerabilidad sale a flote cuando el creador del fichero ZIP establece una contraseña larga, de 64 caracteres o más. En esos casos, si a la aplicación de compresión se le habilita el modo AES-256 a la hora de establecer la contraseña del ZIP, hace uso de un algoritmo PBKDF2 que hashea la contraseña.

En Xataka

El zip de la muerte: un "inocente" archivo comprimido capaz de explotar hasta colapsar tu PC con billones de datos

Es decir, que crea un código ASCII del …