Adobe ha emitido un parche de seguridad crítico para su software Acrobat y Reader en Windows y macOS, poniendo fin a un periodo de meses en el que los atacantes explotaron activamente una vulnerabilidad de día cero. La actualización, lanzada el 11 de abril, soluciona el fallo CVE-2026-34621, el cual permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima simplemente con que esta abriera un PDF manipulado.
Aunque Adobe reconoció la vulnerabilidad en su último boletín de seguridad, no abordó el fallo hasta que investigadores independientes sacaron a la luz la campaña. La compañía declaró que es "consciente de que el CVE-2026-34621 ha sido explotado en ataques reales", pero aún no ha explicado por qué no reveló el riesgo de seguridad con anterioridad.
Anatomía del ataque
Los investigadores de seguridad descubrieron que el exploit utilizaba JavaScript altamente ofuscado para ejecutarse a través de las API legítimas de Acrobat. Esto permitía al malware realizar un perfilado del equipo anfitrión, recopilando información del sistema para determinar si el objetivo merecía un compromiso más profundo.
Si la máquina cumplía con los criterios de los atacantes, el malware escalaba privilegios para descargar una carga útil secundaria. Esta amenaza adicional era capaz de ejecutar código de forma remota y podía evadir el entorno de pruebas (sandbox) de Reader.
Las pruebas sugieren que la campaña ha estado activa al menos desde finales de 2025. La metodología del ataque fue diseñada para camuflarse con el comportamiento normal del software, permitiéndole eludir las defensas de seguridad tradicionales que dependen de la detección basada en firmas.
La naturaleza de los anzuelos sugiere un esfuerzo sofisticado y dirigido, en lugar de spam aleatorio. Algunos de los documentos maliciosos estaban escritos en ruso y hacían referencia específica a temas relacionados con la industria del petróleo y el gas. Esto indica que los atacantes se centraban en objetivos específicos de alto valor.
Aunque el parche cierra efectivamente la vulnerabilidad, no revierte los compromisos previos. Los usuarios que abrieron archivos PDF maliciosos durante los meses en que el fallo permaneció sin corregir podrían haber visto sus sistemas perfilados o totalmente comprometidos.
Adobe no ha revelado el número total de usuarios afectados ni ha proporcionado detalles sobre cómo se descubrió originalmente el fallo. La empresa ha guardado silencio ante las preguntas sobre por qué el reconocimiento público de la vulnerabilidad se retrasó respecto a los informes de investigadores externos.
