¿Aún no has actualizado WinRAR? Parece que los hackers ya están vigilando tu ordenador.
Un solo archivo equivocado puede arruinar tu carrera y vaciar tu cuenta bancaria
El equipo del Grupo de Inteligencia de Amenazas de Google (GTIG) informó sobre la explotación a gran escala de la vulnerabilidad crítica CVE-2025-8088 en el popular compresor WinRAR. Aunque el problema fue corregido ya en el verano de 2025, los atacantes siguen utilizándolo activamente en ataques en todo el mundo, tanto en campañas con motivación financiera como en operaciones dirigidas a organismos estatales de distintos países.
Se trata de un fallo de omisión de comprobación de rutas que permite, mediante archivos RAR especialmente manipulados, grabar ficheros en directorios arbitrarios de Windows, incluida la carpeta de inicio. Para ello se emplea el mecanismo de flujos de datos alternativos, cuando el archivo malicioso se oculta dentro de un documento aparentemente inocuo, por ejemplo un PDF. Al abrir el archivo RAR, el objeto oculto se guarda discretamente en un directorio del sistema y luego se ejecuta automáticamente en el siguiente inicio de sesión del usuario, lo que garantiza la persistencia en el sistema y el avance del ataque.
Según GTIG, la explotación de CVE-2025-8088 comenzó ya el 18 de julio de 2025, y la corrección fue publicada por RARLAB el 30 de julio junto con la versión WinRAR 7.13. Sin embargo, la baja velocidad de actualización del software por parte de usuarios y organizaciones convirtió esta vulnerabilidad en una herramienta conveniente para ataques masivos.
En los ataques se utilizan campañas de phishing, archivos RAR con cebos relacionados con la temática ucraniana y accesos directos maliciosos, scripts y archivos HTA que descargan componentes adicionales. En estas operaciones se ha detectado el uso de familias de malware como NESTPACKER, STOCKSTAY y otras herramientas para reconocimiento y control remoto.
La vulnerabilidad la explotan tanto grupos estatales como actores privados. Se han registrado ataques contra organizaciones en Indonesia, países de América Latina y Brasil, donde a través de WinRAR se distribuyen troyanos RAT, programas de robo de datos, puertas traseras e incluso extensiones maliciosas para el navegador Chrome que inyectan scripts de phishing en las páginas de bancos.
Un apartado del informe se dedica al mercado clandestino de exploits. Según GTIG, un papel importante en la distribución de estas herramientas lo desempeña un actor bajo el seudónimo zeroplayer, que desde 2025 ofrece en el mercado negro varios exploits costosos, incluidas vulnerabilidades en Microsoft Office, Windows, soluciones VPN y sistemas de protección. Esto acelera el despliegue masivo de ataques, reduciendo la barrera de entrada para todo tipo de grupos.
Desde Google subrayan que la situación alrededor de CVE-2025-8088 demuestra claramente cuán peligrosas siguen siendo las vulnerabilidades ya corregidas si entran rápidamente en el ecosistema criminal. Incluso después de publicarse las actualizaciones, esas brechas se utilizan durante años en ataques reales, convirtiéndose en un vector universal de acceso inicial a los sistemas.