0day en WinZip: Los virus ahora pasan sin previo aviso

Investigadores en el campo de la ciberseguridad descubrieron una vulnerabilidad crítica de tipo 0day en el popular programa WinZip, que permite eludir el mecanismo de protección Mark-of-the-Web integrado en Windows. El problema afecta a versiones hasta la 29.0 inclusive y puede conducir a la ejecución encubierta de código malicioso en el ordenador de la víctima sin advertencias por parte del sistema operativo.

El mecanismo Mark-of-the-Web marca automáticamente los archivos descargados de Internet con una etiqueta especial, gracias a la cual se muestran notificaciones sobre posibles riesgos al abrirlos. Sin embargo, en el caso de WinZip, esta etiqueta no se conserva al descomprimir el archivo. Esto significa que incluso documentos maliciosos que contienen macros pueden ejecutarse silenciosamente, como si hubieran sido obtenidos de una fuente segura.

El escenario de ataque es simple: el atacante crea un archivo malicioso, por ejemplo, un documento de Word con macros activas, lo empaqueta en un archivo ZIP y lo distribuye a través de correos de phishing o sitios web infectados. Si el usuario extrae dicho archivo con WinZip, el archivo quedará fuera del control de los mecanismos de protección de Windows y podrá ejecutarse sin notificaciones.

La vulnerabilidad ha recibido el identificador CVE-2025-33028 y una puntuación de 7.8 en la escala CVSS. Los expertos señalan que el problema puede explotarse sin conocimientos técnicos avanzados, y sus consecuencias incluyen ejecución de código arbitrario, elevación de privilegios y robo de datos.

Preocupa especialmente el hecho de que el fallo encontrado resulte ser una versión parcialmente corregida de una vulnerabilidad anterior, CVE-2024-8811, lo que apunta a problemas prolongados de seguridad en el manejo de archivos comprimidos. Vulnerabilidades similares en otros programas de compresión también han llamado la atención recientemente. Así, la vulnerabilidad CVE-2025-0411 en 7-Zip y CVE-2025-31334 en WinRAR también permitían eludir Mark-of-the-Web.

En el momento de la publicación, aún no se ha lanzado una actualización de seguridad para WinZip. Por lo tanto, se recomienda a los usuarios extremar las precauciones al abrir archivos comprimidos procedentes de fuentes no confiables, utilizar compresores alternativos que manejen correctamente las etiquetas de seguridad, escanear los archivos extraídos con un antivirus y desactivar la ejecución automática de macros en aplicaciones de oficina.

Para los usuarios corporativos, tiene sentido implementar medidas de control adicionales, como la prohibición de ejecutar archivos recién extraídos sin una verificación adicional. El incidente subraya cuán vulnerables pueden ser incluso acciones cotidianas, como trabajar con archivos comprimidos, en ausencia de mecanismos de protección adecuados.

Mientras las vulnerabilidades en las herramientas de compresión continúen siendo una herramienta conveniente en el arsenal de los atacantes, solo queda confiar en la protección multinivel y la cautela al tratar con archivos sospechosos.