A pesar de haber sido parcheada hace unos meses atrás, la vulnerabilidad de WinRAR sigue siendo aprovechada por ciberdelincuentes y grupos de espionaje. Lo que inicio como un simple fallo técnico se ha convertido en una herramienta clave en campañas de ciberataques y conflictos geopolíticos.
Descubierta en 2025 y corregida poco después, la falla CVE-2025-8088 debería haber quedado en el pasado. No obstante, los investigadores del Grupo de Inteligencia de Amenazas de Google (GTIG) han revelado que muchos usuarios aún no han actualizado WinRAR, lo que permite dejar a los equipos expuestos a ataques sofisticados.
Cómo la vulnerabilidad de WinRAR sigue siendo explotada a día de hoy
Según el GTIG, la vulnerabilidad de WinRAR le permite a los atacantes ejecutar código malicioso mediante un fallo de recorrido de ruta. Con este fallo, los delincuentes aprovechan para desplegar malware y herramientas de vigilancia en sistemas operativos Windows, incluso en redes corporativas.
A pesar de la rápida respuesta de los desarrolladores, la explotación activa de CVE-2025-8088 sigue siendo un problema global, señaló el informe del GTIG.
Los expertos han explicado que el exploit utiliza una característica poco conocida del sistema de archivos NTFS: los Flujos de Datos Alternativos (ADS). Dicha característica permiten asociar múltiples flujos de datos a un solo archivo, invisibles desde la interfaz gráfica del sistema Windows. En la práctica, los delincuentes los utilizan para ocultar cargas maliciosas sin levantar sospechas.
Cuando una víctima abre un archivo RAR que ha sido manipulado con anterioridad en una versión vulnerable de WinRAR, el malware oculto se extrae de manera silenciosa y se instala en el sistema. El proceso termina situando los archivos maliciosos en la carpeta de inicio de Windows, asegurando así su ejecución automática tras el reinicio.
Un fallo parcheado, pero aún muy activo
Rarlab lanzó WinRAR 7.13 en julio de 2025 para corregir CVE-2025-8088 y otros errores críticos. Pero los investigadores han detectado que muchos usuarios y empresas siguen utilizando versiones antiguas de WinRAR, por lo que se mantiene viva la cadena de ataques.
Grupos vinculados a Rusia y China estarían aprovechando la brecha de seguridad para realizar campañas de espionaje digital, robo de información y sabotaje. Este tipo de actividad confirma una tendencia: incluso las vulnerabilidades ya parcheadas pueden seguir siendo útiles cuando los usuarios descuidan las actualizaciones.
El GTIG advierte que el uso continuado de la vulnerabilidad de WinRAR demuestra la importancia de aplicar parches de seguridad de manera inmediata. Los atacantes tienden a explotar errores conocidos porque su efectividad aumenta en entornos desactualizados, donde las defensas son mínimas.
Por lo tanto, los expertos recomiendan actualizar inmediatamente a la versión más reciente de WinRAR y verificar la autenticidad de los archivos comprimidos antes de abrirlos. Además, es aconsejable deshabilitar la vista automática de extensiones y mantener activado el antivirus con análisis en tiempo real.