Dos de los programas de compresión más utilizados del mundo, 7-Zip y WinRAR, han tenido que lanzar actualizaciones de emergencia tras el descubrimiento de graves vulnerabilidades de seguridad. En el caso de WinRAR, se ha confirmado que una vulnerabilidad ya estaba siendo explotada activamente por ciberdelincuentes, mientras que 7-Zip ha corregido un fallo que permitía manipular archivos críticos del sistema.
WinRAR bajo ataque: explotación activa de CVE-2025-8088
La vulnerabilidad CVE-2025-8088, con una puntuación CVSS de 8,8, afecta al programa de compresión WinRAR y permite a los atacantes ejecutar código arbitrario mediante archivos de archivo maliciosos especialmente diseñados. Los investigadores de ESET, Anton Cherepanov, Peter Košinár y Peter Strýček, descubrieron que esta falla de «path traversal» ya estaba siendo explotada por el grupo ruso RomCom (también conocido como Paper Werewolf) en campañas de phishing dirigidas.
El problema permite que, al extraer un archivo, versiones anteriores de WinRAR puedan ser engañadas para usar una ruta definida en un archivo especialmente diseñado, en lugar de la ruta especificada por el usuario. Esta vulnerabilidad permite que un archivo malicioso haga que WinRAR guarde archivos en ubicaciones diferentes a las previstas por el usuario, como la carpeta de inicio del sistema.
Los ataques documentados por ESET se produjeron entre el 18 y el 21 de julio de 2025, dirigidos contra empresas financieras, manufactureras, de defensa y logística en Europa y Canadá con fines de ciberespionaje. Existe evidencia de que el grupo Paper Werewolf pudo haber adquirido el exploit tras un anuncio en foros rusos donde un actor identificado como «zeroplayer» ofrecía una supuesta vulnerabilidad zero-day de WinRAR por 80.000 dólares.
La vulnerabilidad ha sido corregida en WinRAR versión 7.13, lanzada el 31 de julio de 2025. Sin embargo, el programa no cuenta con un mecanismo de actualización automática, lo que significa que los usuarios deben descargar e instalar manualmente la corrección.
7-Zip: manipulación de enlaces simbólicos en CVE-2025-55188
Por su parte, 7-Zip ha corregido la vulnerabilidad CVE-2025-55188, con una puntuación CVSS de 2,7, que puede ser explotada para escritura arbitraria de archivos debido a la forma en que la herramienta maneja los enlaces simbólicos durante la extracción. El código para el manejo de enlaces simbólicos ha sido modificado para proporcionar mayor seguridad al extraer archivos de los archivos comprimidos, añadiendo el parámetro -snld20 que puede usarse para omitir las verificaciones de seguridad predeterminadas al crear enlaces simbólicos.
En un posible escenario de ataque, un actor malicioso podría aprovechar la falla para lograr acceso no autorizado o ejecución de código mediante la manipulación de archivos sensibles, como sobrescribir las claves SSH de un usuario o el archivo .bashrc. El ataque se dirige principalmente a sistemas Unix, aunque también puede adaptarse para Windows con requisitos adicionales.
La vulnerabilidad ha sido corregida en la versión 25.01 de 7-Zip, lanzada el 3 de agosto de 2025.
Antecedentes de vulnerabilidades en compresores
Este no es el primer caso de vulnerabilidades graves en software de compresión. En 2023, otra vulnerabilidad de WinRAR (CVE-2023-38831, con puntuación CVSS 7,8) fue explotada intensivamente como zero-day por múltiples actores de amenazas de China y Rusia. El grupo de análisis de amenazas de Google documentó que actores respaldados por estados de Rusia y China aprovecharon esa falla anterior.
Además, recientemente se descubrió otra vulnerabilidad en 7-Zip, CVE-2025-0411 con puntuación CVSS 7,0, que permitía a los atacantes evadir el mecanismo de protección Mark-of-the-Web, corregida en la versión 24.09 publicada el 29 de noviembre de 2024.
Recomendaciones de seguridad
Los expertos en ciberseguridad recomiendan las siguientes acciones inmediatas:
- WinRAR: Actualizar inmediatamente a la versión 7.13 o superior
- 7-Zip: Actualizar a la versión 25.01 o superior
- Evitar abrir archivos comprimidos de remitentes desconocidos o sospechosos
- Implementar sistemas de detección que puedan identificar patrones de comportamiento malicioso
- Verificar regularmente las versiones de software de compresión instaladas en las organizaciones
Más del 80% de las organizaciones dependen de herramientas de archivo como WinRAR, a menudo subestimando sus riesgos, lo que convierte estas vulnerabilidades en un vector de ataque particularmente preocupante para la infraestructura empresarial.
Preguntas frecuentes
¿Cómo puedo verificar qué versión de WinRAR o 7-Zip tengo instalada? En WinRAR, ve al menú «Ayuda» > «Acerca de WinRAR» para ver la versión. En 7-Zip, abre el programa y ve a «Ayuda» > «Acerca de 7-Zip». Las versiones seguras son WinRAR 7.13+ y 7-Zip 25.01+.
¿Estas vulnerabilidades afectan a otros programas de compresión como ZIP nativo de Windows? No, estas vulnerabilidades específicas (CVE-2025-8088 y CVE-2025-55188) afectan únicamente a WinRAR y 7-Zip respectivamente. Sin embargo, es recomendable mantener actualizados todos los programas de compresión, ya que históricamente han sido objetivos frecuentes de ciberatacantes.
¿Puedo seguir usando archivos RAR y 7Z de forma segura después de actualizar? Sí, una vez actualizado a las versiones corregidas (WinRAR 7.13+ y 7-Zip 25.01+), puedes usar estos formatos con seguridad. Sin embargo, siempre mantén precaución con archivos de fuentes desconocidas y considera usar software antivirus actualizado.
¿Qué es un ataque de «path traversal» y por qué es peligroso? Un ataque de path traversal permite a un atacante manipular las rutas de archivos para escribir o acceder a archivos fuera del directorio previsto. Esto es peligroso porque puede permitir sobrescribir archivos críticos del sistema, instalar malware en carpetas de inicio automático, o acceder a información sensible como credenciales almacenadas.
Alternativas seguras de código abierto como solución
Ante las recurrentes vulnerabilidades en software de compresión propietario, muchos expertos en seguridad recomiendan migrar a alternativas de código abierto que han demostrado mayor transparencia y rapidez en la corrección de fallos. Las herramientas nativas de sistemas Unix/Linux como gzip, bzip2 y xz ofrecen ventajas significativas tanto en seguridad como en rendimiento.
7-Zip: la alternativa gratuita más robusta
7-Zip se ha consolidado como una de las mejores alternativas gratuitas y de código abierto, proporcionando un ratio de compresión entre el 2 y 10% mejor que PKZip o WinZip en formatos ZIP y GZIP. La herramienta soporta múltiples formatos incluyendo 7z, XZ, BZIP2, GZIP, TAR, ZIP y WIM para compresión, y puede descomprimir ARJ, CAB, CHM, RAR y muchos otros formatos.
Entre sus características destacadas se encuentra el cifrado AES-256 en formatos 7z y ZIP, la posibilidad de crear archivos autoextraíbles y su completa integración con el explorador de Windows. Al ser software libre, cuenta con versiones oficiales para múltiples plataformas y el escrutinio constante de la comunidad de desarrolladores.
PeaZip: interfaz moderna y amplia compatibilidad
PeaZip es otra excelente opción de código abierto que comprime a 7Z, ARC, BZip2, GZip, PAQ y PEA, crea archivos auto-extraíbles en formato TAR, WIM, XZ y ZIP, y descomprime más de 180 formatos. La herramienta está disponible en versiones portátiles, no contiene anuncios ni adware, y ofrece características avanzadas de seguridad con cifrado AES y autenticación de dos factores.
Herramientas nativas Unix/Linux: máxima seguridad
Para usuarios técnicos, las herramientas nativas de compresión ofrecen las mejores garantías de seguridad y rendimiento:
Gzip: Aunque no es el más óptimo en compresión, gzip tiene la mejor relación entre calidad, velocidad y uso de recursos durante compresiones y descompresiones. Es la herramienta estándar en sistemas Unix/Linux y está ampliamente auditada por la comunidad.
XZ/LZMA: A pesar del incidente de seguridad de 2024 (CVE-2024-3094), el ataque a xz-utils fue detectado y corregido rápidamente por la comunidad antes de afectar sistemas en producción. XZ proporciona los archivos más pequeños, siendo ideal para publicación web donde se busca ahorrar ancho de banda.
Bzip2: Ofrece una solución de compromiso, obteniendo mejor compresión que Gzip en tiempo inferior al de XZ.
Alternativas emergentes: NanaZip y Bandizip
NanaZip, basado en el motor de 7-Zip, se presenta como «el compresor de archivos definitivo» con una interfaz moderna que se integra completamente en el menú contextual de Windows 11. La herramienta mantiene la potencia de 7-Zip pero con una experiencia de usuario significativamente mejorada.
Bandizip ofrece compatibilidad con más de 30 formatos diferentes, incluyendo el nuevo formato RAR5, con una interfaz intuitiva y estabilidad destacada. Soporta cifrado AES-256 y está disponible tanto en versión gratuita como profesional.
Recomendaciones de migración
Para organizaciones que buscan alternativas seguras, los expertos recomiendan:
- Migración gradual: Comenzar con 7-Zip o PeaZip como reemplazo inmediato de WinRAR
- Estandarización: Adoptar formatos abiertos como 7z, ZIP o TAR.XZ para archivos corporativos
- Automatización: Implementar herramientas nativas Unix para procesos automatizados de backup
- Formación: Capacitar al personal técnico en el uso de herramientas de línea de comandos para casos críticos
La ventaja fundamental del software de código abierto radica en que las vulnerabilidades pueden ser identificadas y corregidas por cualquier miembro de la comunidad, como demostró el caso de xz-utils donde el ingeniero Andres Freund detectó la puerta trasera «casi por casualidad» antes de que afectara sistemas en producción.
Fuente: Noticias de seguridad
