Durante años, WinRAR fue una de esas herramientas que se instalan una vez y se olvidan para siempre. Está ahí, cumple su función y rara vez genera desconfianza. Justamente por eso, se convirtió en el blanco perfecto. En los últimos meses, investigadores de seguridad comenzaron a detectar un patrón inquietante: ataques que no explotaban navegadores, ni sistemas operativos, ni aplicaciones complejas, sino algo mucho más simple y extendido.
La advertencia no llegó desde un foro underground ni desde una empresa menor. Fue el propio Grupo de Análisis de Amenazas de Google el que encendió las alarmas al identificar una vulnerabilidad crítica que estaba siendo explotada de forma activa y masiva. El fallo, registrado como CVE-2025-8088, afecta a versiones antiguas de WinRAR y permite que un atacante se infiltre en un sistema sin que el usuario note nada extraño.
El escenario es especialmente delicado porque no se trata de un ataque sofisticado que apunte a objetivos muy específicos. Todo lo contrario: basta con abrir un archivo comprimido aparentemente legítimo para que el sistema quede comprometido. Sin ventanas emergentes, sin errores visibles, sin antivirus disparando alertas inmediatas.
Lo que más preocupa a los especialistas no es solo la existencia del fallo, sino quiénes lo están utilizando. En la misma grieta conviven operaciones de espionaje internacional, estafas bancarias y campañas de malware a gran escala. Todos aprovechan el mismo descuido: confiar en un archivo comprimido.
El truco invisible que permite tomar control de tu PC
El ataque parte de un gesto cotidiano: descargar y abrir un archivo RAR. Puede llegar por correo electrónico, mensajería o incluso como parte de una descarga aparentemente confiable. A simple vista, todo parece normal. El contenido promete algo reconocible: una factura, una reserva, un documento informativo o un archivo PDF.
El engaño ocurre detrás de escena. Al procesar el archivo, WinRAR —en versiones no actualizadas— comete un error de validación que permite lo que los especialistas llaman un “salto de carpetas”. En lugar de limitarse a extraer el contenido donde corresponde, el programa termina escribiendo archivos en ubicaciones críticas del sistema.
En concreto, el malware logra instalarse en la carpeta de Inicio de Windows. Eso significa que no necesita ejecutarse de inmediato. Solo espera. Cuando el usuario reinicia la computadora, el código malicioso se activa automáticamente, otorgando acceso persistente al atacante.
La técnica se vuelve todavía más difícil de detectar gracias al uso de Alternate Data Streams (ADS), una función poco conocida del sistema de archivos de Windows que permite ocultar información dentro de otros archivos. El resultado es un virus prácticamente invisible para el usuario promedio y, en algunos casos, incluso para soluciones de seguridad mal configuradas.
Lo más inquietante es que el archivo que dispara todo puede parecer completamente inofensivo. No hace falta habilitar macros, aceptar permisos extraños ni ejecutar programas desconocidos. Solo abrir el comprimido.
De espionaje estatal a robo bancario: quiénes usan el fallo
El informe de Google deja en claro que este no es un ataque aislado ni exclusivo de un solo perfil de delincuente. La misma vulnerabilidad está siendo explotada por actores con motivaciones muy distintas, pero con un objetivo común: aprovechar la confianza del usuario.
En un extremo están los grupos de espionaje vinculados a Estados, entre ellos organizaciones asociadas a Rusia y China. Según los investigadores, estas campañas apuntaron a objetivos sensibles, como entidades gubernamentales y militares, con especial foco en regiones en conflicto. El archivo comprimido funciona como la puerta de entrada a sistemas que luego pueden ser monitoreados durante meses.
En el otro extremo aparece el delito común, pero no por eso menos peligroso. En varios países de América Latina se detectaron campañas de correos falsos que simulan reservas de hotel o comprobantes de pago. Al abrir el archivo, la víctima instala sin saberlo un troyano de acceso remoto (RAT), capaz de robar contraseñas, capturar pantallas y vaciar cuentas bancarias.
Brasil, en particular, se convirtió en uno de los focos más activos. Allí se identificaron ataques que usan este fallo para instalar extensiones maliciosas en navegadores, diseñadas para inyectar código en sitios bancarios reales y robar credenciales en tiempo real.
El negocio detrás del fallo y cómo protegerte ahora mismo
Más allá de los ataques concretos, hay un dato que termina de explicar por qué este problema se expandió tan rápido: el mercado negro. La vulnerabilidad de WinRAR no solo se usa, también se vende. En foros clandestinos, usuarios especializados ofrecen paquetes completos de explotación por cifras que pueden llegar a cientos de miles de dólares.
Un actor conocido como “zeroplayer” promocionó este fallo desde mediados de 2025, junto con otras herramientas diseñadas para ataques persistentes. El mensaje es claro: la ciberdelincuencia funciona como una industria, y las brechas de seguridad son su materia prima.
Frente a este panorama, las recomendaciones son simples, pero urgentes:
- Actualizar WinRAR inmediatamente: la versión 7.13 o superior corrige el problema. Cualquier versión anterior sigue siendo vulnerable.
- Desconfiar de archivos comprimidos inesperados, incluso si parecen legítimos o usan pretextos urgentes.
- Apoyarse en servicios de protección en la nube: plataformas como Gmail y sistemas de navegación segura ya están bloqueando activamente este tipo de archivos maliciosos.
Según indica Tecno Gaming, el riesgo no está en WinRAR en sí, sino en dejarlo congelado en el tiempo. En un contexto donde un solo clic puede abrir la puerta a un ataque global, mantener el software actualizado dejó de ser una recomendación técnica para convertirse en una necesidad básica.
