Una nueva vulnerabilidad en WinRAR ha puesto en alerta al mundo de la ciberseguridad. La CISA, la agencia de seguridad de EE.UU., advirtió que la falla identificada como CVE-2025-6218 está siendo explotada activamente por varios grupos de atacantes, incluyendo colectivos con fines militares y de espionaje.
Aunque este fallo fue corregido por Rarlab en junio de 2025, millones de usuarios aún utilizan versiones del WinRAR antiguas, dejando sus sistemas expuestos a ataques que podrían compromete archivos críticos o incluso ejecutar código maliciosos en sus equipos.
Una vulnerabilidad crítica en WinRAR amenaza a millones de usuarios
La vulnerabilidad CVE-2025-6218, con una puntuación CVSS de 7,8, permite ataque de cruce de rutas (path traversal). Hablando en cristiano, el archivo RAR manipulado o descargado desde un sitio web maliciosos puede colocar archivos en directorios del sistema operativo donde no deberían estar, como la carpeta de inicio de Windows, abriendo la puerta a una posible ejecución de códigos de forma remota.
Los atacantes están aprovechando activamente esta falla en versiones antiguas de WinRAR para distribuir malware a través de archivos comprimidos o campañas de phishing, advirtió la CISA en su comunicado oficial.
La empresa detrás de WinRAR, lanzó la versión 7.12 para Windows el pasado junio, corrigiendo la vulnerabilidad. No obstante, la lenta adoptación de la actualización ha permitido que grupos de ciberdelincuentes la integren en cadenas de ataques avanzadas, combinándola con otros exploits.
Ataques coordinados por grupos APT y campañas de espionaje
Empresas de seguridad como: BI.ZONE, Foresiet, SecPod y Synaptic Security han identificado que la falla forma parte de un ataque de múltiples actores. Entre los grupos implicados se encuentran GOFFEE (Paper Werewolf), Bitter APT y el colectivo ruso Gamaredon, conocido por sus operaciones contra entidades gubernamentales.
Durante el verano pasado, GOFFEE combinó esta vulnerabilidad con otra falla (CVE-2025-8088) en ataques de phishing dirigidos, haciendo uso de archivos RAR y documentos de Word aparentemente inofensivos. El grupo Bitter APT, por su parte, emplea macros maliciosos para mantener acceso persistente y robar información mediante un troyano programado en C# que se comunica con servidores externos de comando y control.
Gamaredon y el salto hacia ataques destructivos
Sin embargo, uno de los casos más preocupantes es el del grupo ruso Gamaredon, que ha utilizado la vulnerabilidad de WinRAR para atacar agencias militares y gubernamentales de ucrania. Los analistas han detectado el uso del malware “Pteranodon” y un nuevo limpiador destructivo llamado “GamaWiper”, diseñado para borrar datos y sistemas completos.
Esta campaña marca un cambio en la estrategia de Gamaredon, que hasta ahora se centraba principalmente en el robo de información, y ahora incorpora tácticas de sabotaje digital con claros fines militares.
Todos estos casos refuerzan la importancia de mantener siempre el software actualizado y así evitar archivos comprimidos de fuentes desconocidas. La CISA y otros organismos recomiendan encarecidamente instalar WinRAR 7.12 o versiones posteriores para mantener tu sistema protegido contra cualquier amenaza.