Abres un pequeño archivo ZIP. A primera vista — nada especial. Su tamaño es inferior a 50 kilobytes, se descargó en un segundo y el antivirus no mostró advertencias. Pero tan pronto como empiezas a descomprimirlo, el equipo comienza a ralentizarse y el sistema de archivos literalmente se ahoga. Además, dentro del archivo no hay ni troyano ni scripts: solo matemáticas. Bienvenido al mundo de las bombas ZIP.
Cómo funciona la compresión de datos
Para entender por qué una bomba ZIP resulta tan destructiva, primero conviene saber cómo funciona la compresión. Los algoritmos de archivo (por ejemplo, en formato ZIP) no «comprimen» los datos en sentido literal, sino que buscan patrones repetidos: fragmentos idénticos de bits. En lugar de almacenarlos muchas veces, el programa deja solo una copia y, en el resto, indica: «aquí hay un fragmento igual al de allá».
Esto resulta especialmente eficaz con textos o registros: archivos en los que se repiten palabras, líneas o incluso bloques completos de información. Como resultado, el volumen de datos se reduce drásticamente y la recuperación al descomprimir se realiza gracias a esas referencias a las secciones repetidas.
Cuando el algoritmo actúa en tu contra
Una bomba ZIP es un método sofisticado para usar las capacidades de archivado no para bien, sino para causar daño. Se crea con un único propósito: sobrecargar el sistema al intentar descomprimirla. En lugar de una cantidad razonable de bloques repetidos, un mismo fragmento de datos puede ser «duplicado lógicamente» millones de veces.
En la práctica, esto significa que dentro del archivo se crea una cadena de decenas e incluso cientos de archivos comprimidos anidados, cada uno de los cuales contiene referencias al mismo fragmento de memoria. Al mismo tiempo, el tamaño del propio archivo permanece minúsculo. En el disco ocupa muy poco, se transmite con facilidad por correo electrónico y no despierta sospechas al descargarse. Pero cuando comienza la descompresión, todas esas capas se activan: una abre a la otra y cada una remite a un volumen gigantesco de contenido «comprimido». Se desencadena un proceso en avalancha en el que el sistema consume recursos en progresión geométrica. Eso es lo que hace que una bomba ZIP sea extremadamente peligrosa.
Ejemplo famoso: el archivo 42.zip
El caso más conocido de bomba ZIP es el archivo llamado 42.zip. Se convirtió en un ejemplo clásico de esta técnica. El tamaño del archivo es de solo 42 kilobytes. En su interior se ocultan 16 archivos comprimidos. En cada uno de ellos hay otros 16. Cada uno de estos archivos anidados vuelve a contener referencias al mismo bloque de datos. El resultado es una estructura construida por recursión, es decir, por llamarse a sí misma repetidamente.
Si se compara esto con una imagen visual, sería un corredor de espejos infinito, donde un archivo abre a otro y aquel abre exactamente el mismo de nuevo. No se añaden datos nuevos, pero la estructura se repite muchas veces y cada «reflejo» genera carga en el sistema. Si hipotéticamente se descomprendiera ese archivo por completo, el volumen de su contenido superaría los cuatro millones y medio de gigabytes. Para ponerlo en perspectiva: es aproximadamente cien mil veces más que un SSD estándar.
Por supuesto, la mayoría de los sistemas no podrán descomprimir 42.zip totalmente: simplemente no habrá suficiente memoria RAM, recursos de CPU ni espacio de direcciones. Pero al intentar hacerlo pueden quedarse colgados, fallar o provocar errores en otras aplicaciones.
¿Para qué sirven?
Aunque las bombas ZIP no contienen código ejecutable, siguen usándose activamente. No siempre con fines maliciosos.
Algunos especialistas en seguridad informática las emplean para probar antivirus, escáneres o pasarelas de correo, a fin de comprobar cómo manejan casos extremos. En el ámbito académico se estudian como un ejemplo interesante de paradojas de compresión. Y a veces se usan en ciberataques, no como arma principal, sino como maniobra de distracción: por ejemplo, para cargar el sistema objetivo mientras en otra parte de la operación ocurre algo más importante.
Las bombas ZIP modernas son aún más ingeniosas. Algunas combinan formatos: por ejemplo, ZIP + RAR + 7z. Otras añaden capas cifradas para que el antivirus no pueda escanear el contenido interno del archivo. Incluso existen ejemplares que se envían en varios correos y cuyo efecto dañino solo surge cuando se combinan en un mismo lugar.
Ejemplo real: la bomba de 2023
Uno de los archivos bomba ZIP detectados en 2023 tenía un tamaño de 10 megabytes, aparentemente nada fuera de lo común. Sin embargo, tras una descompresión completa se desplegó hasta un volumen superior a cinco millones de gigabytes. Construcciones similares a veces aparecen en Discord, Telegram e incluso en foros como «adjuntos divertidos».
Crear una bomba así, por cierto, es algo que prácticamente cualquier persona puede hacer. Solo hace falta escribir un script que archive un archivo, luego vuelva a archivar ese mismo archivo y repetir el proceso cientos de veces. El tamaño del archivo exterior sigue siendo reducido, pero cada nueva capa añade una carga exponencial al descomprimir.
Cómo detectar una bomba ZIP
El problema principal es que una bomba ZIP parece un archivo normal. En su interior no hay virus ni troyanos, solo bytes «inofensivos». Por eso, por sí sola no infringe ninguna regla de seguridad. Toda la amenaza empieza cuando alguien intenta descomprimirla.
Algunas soluciones intentan protegerse imponiendo límites: por ejemplo, interrumpen la descompresión tras cierto número de capas anidadas o se niegan a extraer más de unos pocos gigabytes. Algunas herramientas comprueban el número de referencias a un mismo bloque de memoria: si es excesivo, el archivo se considera sospechoso.
Los antivirus modernos tampoco están quietos: implementan límites de profundidad de escaneo y en el volumen de datos que permiten extraer. Pero no todos los sistemas cuentan con esa protección. Si ejecutas un proceso automático de manejo de adjuntos —ya sea en un script, en un contenedor Docker o a través de WSL— y este intenta abrir una bomba ZIP, podrías convertirte en víctima.
Por eso la regla fundamental al trabajar con archivos comprimidos es no fiarse únicamente del tamaño y la extensión. Si desarrollas un procesamiento automático de adjuntos, limita la profundidad de descompresión. Si descargas archivos de fuentes desconocidas, ábrelos solo en un entorno aislado.
¿Es esto legal?
Formalmente, una bomba ZIP no es un programa malicioso. No contiene archivos ejecutables, no se integra en el sistema ni roba datos. Es simplemente un archivo. Por eso en algunos países no existen leyes claras que prohíban su distribución. Pero todo depende del contexto.
Si ese archivo se envía con la intención de provocar un fallo en el equipo de otra persona —ya sea por error o como broma— puede considerarse una interrupción intencional del funcionamiento. En la práctica jurídica no importa tanto el tipo de archivo como las consecuencias. Y si las acciones provocan la caída de un sistema, la responsabilidad puede demostrarse aunque en el archivo no hubiera un virus.
Conclusión
No es un hack ni un virus en el sentido habitual. Es una trampa intelectual que explota las características de los algoritmos de compresión para sobrecargar un equipo. No ataca: simplemente pide al sistema que haga lo que ya sabe hacer, pero demasiadas veces y demasiado profundamente.
Y en eso radica su astucia. La mayoría de las máquinas, al recibir un archivo así, intentarán abrirlo sin cuestionarlo. Y a partir de ahí —es cuestión de técnica. O, más bien, de su fallo.
