Un investigador de seguridad, Haifei Li, alertó sobre una grave vulnerabilidad zero-day en Adobe Acrobat Reader que ciberdelincuentes explotan desde al menos noviembre o diciembre de 2025 mediante PDFs maliciosos. Esta falla permite la recolección automática de datos del sistema —como versión del SO, configuración de idioma y ruta del archivo— enviados a servidores controlados por atacantes, sin interacción adicional del usuario. Además, el exploit habilita ejecuciones remotas de código (RCE) y escapes de sandbox, potencialmente concediendo control total al agresor, y funciona en la versión más reciente del software.
Li, fundador de la plataforma EXPMON, descubrió scripts sofisticados que usan APIs privilegiadas de Acrobat como util.readFileIntoStream y RSS.addFeed para extraer información sensible. Aunque notificó a Adobe, la compañía no ha lanzado parches, dejando expuestos a millones de usuarios.
«Se ha confirmado que este exploit de ‘huella digital’ aprovecha una vulnerabilidad zero-day/sin parches que funciona en la última versión de Adobe Reader sin requerir ninguna interacción del usuario más allá de abrir un archivo PDF. Aún más preocupante, este exploit permite al actor no solo recopilar o robar información local, sino también lanzar posibles ataques RCE/SBX posteriores, lo que podría llevar a un control total del sistema de la víctima.»
Los ataques involucran servidores en IPs 169.40.2.68 y 188.214.34.20, detectables por el encabezado «Adobe Synchronizer» en el User-Agent. Expertos recomiendan evitar abrir PDFs de fuentes no confiables, bloquear ese tráfico HTTP/HTTPS y monitorear sistemas hasta una actualización oficial.
Esta brecha subraya riesgos persistentes en software ampliamente usado para documentos. En lo que va de 2026, ha facilitado campañas de espionaje industrial y robo de datos, con Li confirmando su efectividad al analizar muestras donde no se desplegaron payloads secundarios por el servidor. Adobe urge verificar actualizaciones pendientes, pero sin fix inmediato, las organizaciones deben reforzar políticas de PDFs, como escaneo previo o uso de visores alternativos. La demora en el parche genera críticas en la comunidad de ciberseguridad, recordando incidentes previos resueltos más rápido.
