Como no podía ser de otro modo, los actores maliciosos buscan potenciales fallos de seguridad en los programas más utilizados a nivel global. En este caso nos vamos a centrar en la aplicación para trabajar con archivos en formato PDF más popular, Adobe Reader.
Y es que tal y como se ha dado a conocer hace solo unas horas, desde al menos el pasado mes de diciembre del año 2025, este programa en concreto ha expuesto los datos de sus usuarios. Básicamente todo esto viene dado porque los ciberdelincuentes han estado explotando una importante vulnerabilidad de tipo Zero Day que hasta la fecha era totalmente desconocida por parte de sus desarrolladores.
Así es el fallo de seguridad de Adobe Reader
Además, la explotación de este fallo de seguridad se llevaba a cabo de manera relativamente sencilla, todo ello a través de determinados documentos PDF manipulados. Llegados a este punto, debemos saber que el fallo en estos momentos se ha descrito como una explotación de archivos PDF altamente sofisticada. Os diremos que el archivo llamado Invoice540.pdf apareció por primera vez en la plataforma VirusTotal el pasado 28 de noviembre.
Teniendo en cuenta el nombre del documento PDF, es probable que haya un componente de ingeniería social, en el que los atacantes engañan a usuarios para que abran los archivos en el programa Adobe Reader. Hay que tener en cuenta que una vez ejecutado, el archivo como tal activa automáticamente la ejecución de un componente JavaScript para extraer los datos confidenciales y recibir cargas útiles adicionales.
Un experto en seguridad afirmó en su cuenta de la red social X, que los documentos PDF maliciosos contienen señuelos para atraer la atención de las potenciales víctimas. De este modo, la muestra en un principio actúa como un exploit con la capacidad de recopilar y filtrar diversos tipos de información. Esto viene seguido por otros exploits de ejecución remota de código.
Todo ello con el fin de aprovechar una vulnerabilidad sin parchear en Adobe Reader que le permite ejecutar una API de Acrobat. Y eso no es lo peor, ya que se ha confirmado que funciona en la última versión de la aplicación de Adobe. Al mismo tiempo, este exploit igualmente tiene la capacidad de enviar la información recopilada a un servidor remoto y recibir código JavaScript adicional para su ejecución.
Como se intuye en estos momentos, este mecanismo que os describimos podría utilizarse para recopilar datos locales o para llevar a cabo ataques de identificación de huellas digitales. Se sabe que el script recopila diversa información del sistema local como la configuración de idioma, versión del sistema operativo, número de versión de Adobe Reader y ruta local del archivo PDF. Posteriormente la envía a un servidor remoto controlado por el atacante.
