Recientemente, se ha descubierto una peligrosa vulnerabilidad de día cero en WinRAR, la herramienta de compresión de archivos que millones de personas usan a diario. Catalogada como CVE-2025-8088, esta falla ya está siendo aprovechada en ataques dirigidos contra organizaciones de varios sectores.
Según investigadores de ciberseguridad, el exploit estaría vinculado al grupo de hackers RomCom, con supuestos lazos con Rusia, sumando así otro ataque de alto perfil a su historial.
Este caso deja en claro algo preocupante: los ciberdelincuentes cada vez son más creativos a la hora de convertir programas comunes y confiables en armas para lanzar ataques digitales.
CVE-2025-808 (con una puntuación de gravedad CVSS de 8.4) es una vulnerabilidad bastante seria que afecta a las versiones de Windows de WinRAR, así como a componentes relacionados como UnRAR.dll y su versión portátil. El problema está en cómo WinRAR maneja los flujos de datos alternativos (ADS) dentro de archivos comprimidos diseñados de forma maliciosa.
En pocas palabras: los atacantes pueden esconder código malicioso dentro de un ADS y, manipulando las rutas internas del archivo, engañar a WinRAR para que extraiga contenido fuera de la carpeta donde debería hacerlo.
¿La consecuencia? Un archivo RAR que parece inofensivo podría soltar malware (como DLLs maliciosas o accesos directos ejecutables) en ubicaciones sensibles del sistema, por ejemplo, la carpeta de inicio de Windows, logrando que se ejecute automáticamente cada vez que inicies sesión.
CVE-2025-8088 (Fuente: SOCRadar)
Todas las versiones hasta la 7.12 incluida son vulnerables a CVE-2025-8088. Si usas WinRAR y no lo has actualizado desde entonces, estás en la zona roja. Según la investigación de ESET, los ataques que aprovechan esta falla comenzaron el 18 de julio de 2025. Esto significa que hubo un periodo de explotación activa antes de que existiera un parche.
Sí. El equipo de WinRAR corrigió el problema el 30 de julio de 2025 con el lanzamiento de WinRAR 7.13. Si aún no has actualizado, hacerlo debería ser tu prioridad número uno.
Conoce más sobre: Gestión de Parches: ¿Por qué es esencial en la seguridad informática?
A simple vista, el archivo malicioso parece inofensivo: un único documento, muchas veces presentado como un currículum o una carta de solicitud de empleo. Pero detrás de esa fachada, el atacante esconde varias entradas ADS (flujos de datos alternativos) manipuladas. Algunas contienen la carga maliciosa real; otras son solo “relleno” diseñado para despistar y ocultar el verdadero peligro.
Cuando la víctima extrae el archivo, puede pasar lo siguiente:
DLL maliciosas se colocan en carpetas temporales como %TEMP% o %LOCALAPPDATA%.
Archivos de acceso directo (.lnk) se instalan en la carpeta de Inicio de Windows.
El malware asegura persistencia, ejecutándose automáticamente en cada reinicio.
El truco clave está en el uso de secuencias de recorrido de ruta (..) dentro de las rutas ADS, lo que fuerza a WinRAR a extraer archivos fuera de la carpeta prevista. Aunque WinRAR lanza advertencias sobre rutas inválidas, los atacantes las camuflan con errores aparentemente inofensivos, enterrando así las entradas sospechosas en medio de una larga lista de mensajes.
La investigación de ESET apunta directamente al grupo de hackers RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596). Este grupo tiene experiencia tanto en ciberespionaje como en ataques con fines financieros, y un historial bien documentado de explotar vulnerabilidades de día cero.
Algunos ejemplos de su actividad previa incluyen:
CVE-2023-36884 en Microsoft Word (2023).
Un ataque combinado con CVE-2024-9680 en Firefox y CVE-2024-49039 en Windows (2024).
En esta campaña en particular, RomCom puso el foco en empresas de finanzas, defensa, manufactura y logística en Europa y Canadá. Sus ataques llegaron a través de correos electrónicos de spear phishing cuidadosamente preparados, disfrazados como solicitudes de empleo que adjuntaban archivos RAR con el exploit integrado.
RomCom no ha sido el único en explotar esta falla. Según BI.ZONE, el grupo Paper Werewolf también la utilizó, probablemente después de adquirir un exploit en la web oscura por 80.000 dólares.
En sus campañas, Paper Werewolf combinó CVE-2025-8088 con otra vulnerabilidad de WinRAR (CVE-2025-6218) para lanzar ataques de phishing contra organizaciones en Rusia.
ESET identificó tres rutas principales de ejecución en las campañas que explotaron CVE-2025-8088:
Agente Mítico mediante secuestro de COM
Un archivo .lnk malicioso coloca una DLL en %TEMP%.
Manipula el Registro para secuestrar el objeto COM PSFactoryBuffer.
La DLL descifra y ejecuta shellcode incrustado.
Se conecta a un servidor C2 y solo actúa si detecta que está en ciertos dominios específicos.
Variante de SnipBot con antianálisis
El .lnk ejecuta un archivo troyanizado de PuTTY (ApbxHelper.exe).
Implementa comprobaciones anti-sandbox revisando la actividad reciente de documentos.
Descarga y ejecuta cargas adicionales desde servidores controlados por los atacantes.
Descargadores RustyClaw y MeltingClaw
El .lnk activa Complaint.exe (RustyClaw).
Busca y descarga más malware, incluido el descargador MeltingClaw.
Opera sobre una infraestructura C2 distinta a la de SnipBot, lo que le da modularidad al ataque.
Cadena de infección del agente mítico (Fuente: ESET)
Podría interesarte leer: Chanel y Pandora: Nuevos Objetivos de Ciberataques
Herramientas como WinRAR están en todas partes: en ordenadores personales, portátiles de trabajo, servidores corporativos… prácticamente en cualquier entorno. Eso es justo lo que hace que una vulnerabilidad como CVE-2025-8088 sea tan peligrosa.
No necesita mucho para activarse: basta con que el usuario extraiga un archivo.
Aprovecha la confianza: descomprimir un archivo es algo que la mayoría considera seguro.
Puede llegar a zonas críticas del sistema: y desde ahí ejecutar código con altos privilegios.
Y lo peor es que no es la primera vez que WinRAR se ve en una situación así. En 2023, la vulnerabilidad CVE-2023-38831 fue explotada masivamente por varios grupos de ciberespionaje. Que algo así se repita solo refuerza la importancia de mantener actualizado incluso el software más básico.
Descarga e instala WinRAR 7.13 o superior, que corrige esta falla y otros problemas de seguridad.
Si tu empresa usa software que dependa de UnRAR.dll, asegúrate de que esas librerías también estén actualizadas.
Capacita a tu equipo para detectar spear phishing, sobre todo en correos con supuestas solicitudes de empleo o archivos adjuntos con “CV” en el nombre.
Antes de abrir un archivo, verifica siempre la legitimidad del remitente.
Configura WinRAR (y cualquier herramienta similar) para que extraiga solo en carpetas donde el usuario tenga permisos limitados.
Siempre que sea posible, bloquea la ejecución desde directorios temporales.
Busca accesos directos .lnk inesperados en la carpeta de Inicio de Windows.
Comprueba si hay DLL desconocidas en %TEMP% o %LOCALAPPDATA%.
Revisa las conexiones de red y bloquea cualquier tráfico hacia dominios sospechosos.
CVE-2025-8088 es un recordatorio de que la seguridad no es un proyecto puntual, sino un proceso constante. Mantener el software actualizado y reaccionar rápido ante nuevas amenazas puede marcar la diferencia entre un susto y un desastre.
En TecneOne, ayudamos a empresas a implementar estrategias de gestión de parches que no dependan de la memoria o la buena suerte, sino de procesos automatizados y fiables. Herramientas como TecnetProtect Backup permiten no solo desplegar actualizaciones de forma centralizada, sino también combinarlo con copias de seguridad y protección activa contra malware.
Con una solución así, cada vez que aparece una vulnerabilidad crítica (como CVE-2025-8088) puedes aplicar el parche en cuestión de horas, minimizar la ventana de exposición y mantener la continuidad de tu negocio sin sobresaltos. En ciberseguridad, la velocidad y la planificación son tus mejores aliados, y contar con socios tecnológicos preparados puede marcar toda la diferencia.