Una falla en el popular compresor WinRAR, identificada como CVE-2025-8088, continúa siendo explotada activamente por múltiples actores de amenaza -Apts y cibercriminales- pese a contar con un parche disponible, poniendo en riesgo sistemas Windows y destacando fallas persistentes en la actualización de software.
Una vulnerabilidad de recorrido de rutas -o path traversal- en WinRAR, identificada como CVE-2025-8088, ha sido explotada activamente por cibercriminales y grupos de amenazas persistentes avanzadas (APTs), según una alerta reciente del Google Threat Intelligence Group (GTIG). Aunque el desarrollador publicó una actualización para corregir el fallo en julio de 2025, millones de instalaciones siguen sin parchear, lo que mantiene a usuarios y organizaciones expuestos a ataques sofisticados.
Los expertos señalan que el problema radica en cómo WinRAR procesa rutas dentro de archivos comprimidos. De acuerdo con el reporte, al abrir un archivo especialmente diseñado, actores maliciosos pueden usar flujos de datos alternativos (ADS) de Windows para ocultar código dañino y forzar al programa a depositar esos archivos en ubicaciones sensibles del sistema, como la carpeta de inicio de Windows. Esto permite que el código se ejecute automáticamente cuando el usuario inicia sesión, otorgando control al atacante con mínima interacción del usuario.
Según un informe del GTIG, la explotación de esta falla data de al menos julio del año pasado, y continúa activa en enero de 2026, con campañas observadas contra objetivos tanto gubernamentales como privados y sectores comerciales. “Los adversarios pueden crear archivos RAR maliciosos que, cuando son abiertos por una versión vulnerable de WinRAR, pueden escribir archivos en ubicaciones arbitrarias en el sistema”, explican los investigadores.
Grupos con diferentes motivaciones han adoptado esta vulnerabilidad en sus operaciones. Por un lado, APTs vinculadas a Rusia y China han sido identificadas implementando cargas útiles especializadas para espionaje y robo de datos, mientras que otros cibercriminales con fines de lucro distribuyen herramientas de acceso remoto (RAT) y troyanos mediante campañas de phishing masivas y técnicas de ingeniería social.
Los especialistas recomiendan actualizar WinRAR a la versión 7.13 o posterior lo antes posible, ya que las versiones anteriores siguen siendo explotables. Asimismo, aconsejan implementar mayores controles contra la apertura de archivos adjuntos de correo electrónico no solicitados y mejorar filtros de entrada para bloquear archivos comprimidos sospechosos.
De acuerdo con el reporte, las consecuencias de no remediar este problema pueden ser severas, y van desde la instalación silenciosa de malware persistente hasta el robo de credenciales o la instalación de puertas traseras que permiten control remoto del sistema afectado. Organizaciones con políticas de actualización laxas son especialmente vulnerables, mientras que usuarios individuales pueden ser víctimas de campañas masivas de phishing.
Los investigadores indicaron que el ciclo de vida de las vulnerabilidades demuestra que, sin una gestión eficaz de los parches existentes, los defectos conocidos pueden seguir siendo herramientas útiles para atacantes mucho después de que se considere resuelta la falla.