Two of the most widely used compression programs, 7-Zip and WinRAR, have released emergency updates to fix serious security vulnerabilities. En particular, la falla de seguridad en WinRAR ya estaba siendo explotada activamente por ciberdelincuentes.
En el caso de WinRAR, la vulnerabilidad identificada como CVE-2025-8088 permite a los atacantes ejecutar código malicioso a través de archivos manipulados. Esta debilidad, con una alta puntuación de riesgo, estaba siendo utilizada por el grupo ruso RomCom en ataques dirigidos mediante campañas de phishing. La vulnerabilidad ha sido corregida en la versión 7.13 de WinRAR, lanzada el 31 de julio de 2025. No obstante, la ausencia de un sistema automático de actualizaciones obliga a los usuarios a actualizar manualmente.
Por su parte, 7-Zip abordó la vulnerabilidad CVE-2025-55188, relacionada con la manipulación de enlaces simbólicos que podría haber permitido acceso no autorizado o escritura en archivos críticos. La corrección de este problema se implementó en la versión 25.01, liberada el 3 de agosto de 2025.
Este tipo de vulnerabilidades no resulta nuevo para los programas de compresión. Anteriormente, en 2023 y 2024, se documentaron otras fallas explotadas por actores respaldados por estados, subrayando la importancia de estas herramientas como un vector de ataque.
Los expertos en ciberseguridad insisten en la necesidad de actualizar a las versiones corregidas de estos programas y evitar descargar archivos de fuentes no fiables. Las herramientas de compresión como WinRAR y 7-Zip son esenciales para muchas organizaciones, pero a menudo se subestima su potencial riesgo para la seguridad.
Como alternativa, se sugiere migrar a soluciones de código abierto como 7-Zip o PeaZip, que ofrecen mayores garantías de seguridad debido a su transparencia y el escrutinio constante de la comunidad. Las herramientas nativas de Unix/Linux también destacan por su robustez y rendimiento, siendo opciones seguras para usuarios más técnicos.
Ante estos desafíos, la comunidad de expertos aconseja una migración gradual a software más seguro, estandarizar formatos abiertos y capacitar al personal en el uso de herramientas de línea de comandos, garantizando así la protección de infraestructuras críticas frente a ataques futuros.
More information and references in Cloud News.
