Dos de los programas de compresión más utilizados del mundo, 7-Zip y WinRAR, han tenido que lanzar actualizaciones de emergencia tras el descubrimiento de graves vulnerabilidades de seguridad. En el caso de WinRAR, se ha confirmado que una vulnerabilidad ya estaba siendo explotada activamente por ciberdelincuentes, mientras que 7-Zip ha corregido un fallo que permitía manipular archivos críticos del sistema.
WinRAR bajo ataque: explotación activa de CVE-2025-8088
La vulnerabilidad CVE-2025-8088, con una puntuación CVSS de 8,8, afecta al programa de compresión WinRAR y permite a los atacantes ejecutar código arbitrario mediante archivos de archivo maliciosos especialmente diseñados. Los investigadores de ESET, Anton Cherepanov, Peter Košinár y Peter Strýček, descubrieron que esta falla de «path traversal» ya estaba siendo explotada por el grupo ruso RomCom (también conocido como Paper Werewolf) en campañas de phishing dirigidas.
El problema permite que, al extraer un archivo, versiones anteriores de WinRAR puedan ser engañadas para usar una ruta definida en un archivo especialmente diseñado, en lugar de la ruta especificada por el usuario. Esta vulnerabilidad permite que un archivo malicioso haga que WinRAR guarde archivos en ubicaciones diferentes a las previstas por el usuario, como la carpeta de inicio del sistema.
Los ataques documentados por ESET se produjeron entre el 18 y el 21 de julio de 2025, dirigidos contra empresas financieras, manufactureras, de defensa y logística en Europa y Canadá con fines de ciberespionaje. Existe evidencia de que el grupo Paper Werewolf pudo haber adquirido el exploit tras un anuncio en foros rusos donde un actor identificado como «zeroplayer» ofrecía una supuesta vulnerabilidad zero-day de WinRAR por 80.000 dólares.
La vulnerabilidad ha sido corregida en WinRAR versión 7.13, lanzada el 31 de julio de 2025. Sin embargo, el programa no cuenta con un mecanismo de actualización automática, lo que significa que los usuarios deben descargar e instalar manualmente la corrección.
7-Zip: manipulación de enlaces simbólicos en CVE-2025-55188
Por su parte, 7-Zip ha corregido la vulnerabilidad CVE-2025-55188, con una puntuación CVSS de 2,7, que puede ser explotada para escritura arbitraria de archivos debido a la forma en que la herramienta maneja los enlaces simbólicos durante la extracción. El código para el manejo de enlaces simbólicos ha sido modificado para proporcionar mayor seguridad al extraer archivos de los archivos comprimidos, añadiendo el parámetro -snld20 que puede usarse para omitir las verificaciones de seguridad predeterminadas al crear enlaces simbólicos.
En un posible escenario de ataque, un actor malicioso podría aprovechar la falla para lograr acceso no autorizado o ejecución de código mediante la manipulación de archivos sensibles, como sobrescribir las claves SSH de un usuario o el archivo .bashrc. El ataque se dirige principalmente a sistemas Unix, aunque también puede adaptarse para Windows con requisitos adicionales.
La vulnerabilidad ha sido corregida en la versión 25.01 de 7-Zip, lanzada el 3 de agosto de 2025.
Antecedentes de vulnerabilidades en compresores
Este no es el primer caso de vulnerabilidades graves en software de compresión. En 2023, otra vulnerabilidad de WinRAR (CVE-2023-38831, con puntuación CVSS 7,8) fue explotada intensivamente como zero-day por múltiples actores de amenazas de China y Rusia. El grupo de análisis de amenazas de Google documentó que actores respaldados por estados de Rusia y China aprovecharon esa falla anterior.
Además, recientemente se descubrió otra vulnerabilidad en 7-Zip, CVE-2025-0411 con puntuación CVSS 7,0, que permitía a los atacantes evadir el mecanismo de protección Mark-of-the-Web, corregida en la versión 24.09 publicada el 29 de noviembre de 2024.
Recomendaciones de seguridad
Los expertos en ciberseguridad recomiendan las siguientes acciones inmediatas:
- WinRAR: Actualizar inmediatamente a la versión 7.13 o superior
- 7-Zip: Actualizar a la versión 25.01 o superior
- Evitar abrir archivos comprimidos de remitentes desconocidos o sospechosos
- Implementar sistemas de detección que puedan identificar patrones de comportamiento malicioso
- Verificar regularmente las versiones de software de compresión instaladas en las organizaciones
Más del 80% de las organizaciones dependen de herramientas de archivo como WinRAR, a menudo subestimando sus riesgos, lo que convierte estas vulnerabilidades en un vector de ataque particularmente preocupante para la infraestructura empresarial.
Preguntas frecuentes
¿Cómo puedo verificar qué versión de WinRAR o 7-Zip tengo instalada? En WinRAR, ve al menú «Ayuda» > «Acerca de WinRAR» para ver la versión. En 7-Zip, abre el programa y ve a «Ayuda» > «Acerca de 7-Zip». Las versiones seguras son WinRAR 7.13+ y 7-Zip 25.01+.
¿Estas vulnerabilidades afectan a otros programas de compresión como ZIP nativo de Windows? No, estas vulnerabilidades específicas (CVE-2025-8088 y CVE-2025-55188) afectan únicamente a WinRAR y 7-Zip respectivamente. Sin embargo, es recomendable mantener actualizados todos los programas de compresión, ya que históricamente han sido objetivos frecuentes de ciberatacantes.
¿Puedo seguir usando archivos RAR y 7Z de forma segura después de actualizar? Sí, una vez actualizado a las versiones corregidas (WinRAR 7.13+ y 7-Zip 25.01+), puedes usar estos formatos con seguridad. Sin embargo, siempre mantén precaución con archivos de fuentes desconocidas y considera usar software antivirus actualizado.
¿Qué es un ataque de «path traversal» y por qué es peligroso? Un ataque de path traversal permite a un atacante manipular las rutas de archivos para escribir o acceder a archivos fuera del directorio previsto. Esto es peligroso porque puede permitir sobrescribir archivos críticos del sistema, instalar malware en carpetas de inicio automático, o acceder a información sensible como credenciales almacenadas.
