Llevas meses abriendo PDFs infectados sin saberlo. Adobe lo ha confirmado.

El 26 de marzo de 2026, alguien subió un archivo PDF sospechoso a EXPMON, un sistema público de detección de exploits avanzados. El antivirus solo lo marcó 13 de 64 veces. La mayoría de herramientas de seguridad no vieron nada.

EXPMON sí lo vio.

Lo que encontraron dentro cambió la semana entera del sector de la ciberseguridad. Ese PDF contenía un exploit activo contra Adobe Acrobat Reader que llevaba funcionando desde noviembre de 2025. Cuatro meses y medio abierto. Cuatro meses y medio en los que cualquier persona que abriera el archivo incorrecto podía tener su equipo comprometido sin hacer nada más que eso: abrirlo.

El 11 de abril, Adobe lanzó una actualización de emergencia. Dos días después, la Agencia de Ciberseguridad de Estados Unidos (CISA) lo incluyó en su catálogo de vulnerabilidades explotadas activamente y ordenó a todas las agencias federales parchear antes del 27 de abril.

Qué hace exactamente este fallo

La vulnerabilidad se identifica como CVE-2026-34621 y afecta a Adobe Acrobat y Acrobat Reader en Windows y macOS.

El mecanismo técnico se llama prototype pollution, un tipo de vulnerabilidad en JavaScript que permite a un atacante modificar propiedades base del sistema que otros procesos heredan. En la práctica lo que significa es esto: un atacante puede crear un PDF aparentemente normal que, al ser abierto, ejecuta código JavaScript malicioso en el equipo de la víctima.

Lo que lo convierte en especialmente peligroso es lo que no requiere. No requiere que hagas clic en ningún enlace. No requiere que introduzcas tus credenciales en ningún sitio. No requiere que descargues ningún programa. Solo requiere que abras el archivo.

Las pruebas realizadas por los investigadores que descubrieron el fallo demostraron que un exploit exitoso puede ejecutar código desde un servidor remoto directamente en Adobe Reader, robar archivos locales del equipo y enviarlos al exterior, todo ello sin que el usuario vea nada fuera de lo normal.

Cuatro meses sin que nadie lo detectara

Este es el detalle que más debería preocupar a cualquier responsable de seguridad.

La explotación activa de este fallo comenzó, según el análisis de muestras encontradas en VirusTotal, en noviembre de 2025. Adobe no supo que existía hasta que un investigador de seguridad les notificó el problema en abril de 2026.

Cuatro meses y medio en los que este exploit estuvo circulando en la naturaleza. Cuatro meses y medio en los que los antivirus no lo detectaban. Cuatro meses y medio en los que los equipos de seguridad de miles de organizaciones en todo el mundo no tenían forma de saber que sus usuarios podían estar siendo comprometidos cada vez que abrían un PDF.

El investigador que destapó el fallo, Haifei Li, fundador de EXPMON, señaló que muy probablemente hay un grupo APT detrás de los ataques. Los análisis forenses de los PDFs maliciosos encontrados revelaron que usaban señuelos en idioma ruso con referencias a eventos del sector del petróleo y gas en Rusia, lo que sugiere ataques dirigidos contra organizaciones de sectores energéticos e industriales.

Por qué Adobe Reader es un vector de ataque especialmente relevante

Adobe Acrobat Reader está instalado en prácticamente todos los ordenadores corporativos del mundo. Es el software estándar para abrir contratos, facturas, informes, propuestas comerciales y documentación técnica. Es exactamente el tipo de archivo que cualquier empleado abre varias veces al día sin pensarlo dos veces.

Eso lo convierte en un vector de ataque de primer orden para cualquier actor que quiera comprometer una organización sin levantar sospechas. No necesitas engañar a nadie para que haga algo inusual. Solo necesitas que abran lo que hacen cada día.

Y en este caso concreto, el exploit también apareció en un foro de la dark web el 11 de abril de 2026, el mismo día que Adobe publicó el parche de emergencia, con un proof-of-concept que cualquier atacante podía usar para explotar la vulnerabilidad antes de que las organizaciones tuvieran tiempo de parchear.

Lo que esto demuestra una vez más

Adobe Reader tenía un fallo crítico. Llevaba meses siendo explotado. Los antivirus no lo detectaban. Y la única razón por la que se descubrió es que alguien subió un PDF sospechoso a una plataforma especializada que lo analizó en profundidad.

No fue un sistema de monitorización continua de endpoints el que lo detectó. No fue una herramienta de gestión de vulnerabilidades la que avisó. Fue un investigador que revisó manualmente una alerta generada por un sistema diseñado específicamente para encontrar exploits avanzados.

La pregunta que cualquier Director de IT o CEO debería hacerse no es si Adobe ha parcheado ya el fallo, que lo ha hecho. La pregunta es cuántos exploits similares están ahora mismo activos en software que tienes instalado en todos tus equipos, sin que ninguna de tus herramientas de seguridad los haya detectado todavía.

El inventario de activos actualizado, la monitorización continua del comportamiento de los endpoints y la detección de anomalías en tiempo real no son garantías absolutas contra un zero-day. Pero son la diferencia entre detectar actividad sospechosa en horas y descubrir que llevas meses comprometido cuando ya es demasiado tarde.

Fuentes: The Hacker News, Adobe Security Bulletin, CISA KEV Catalog, SecurityWeek, Help Net Security, Malwarebytes, EXPMON — Abril 2026.