¿Cuándo fue la última vez que actualizaste WinRAR? Si tu respuesta es “no me acuerdo”, estás en buena compañía… y en riesgo. Un fallo zero-day, CVE-2025-8088, estuvo siendo explotado por el grupo RomCom para colar ejecutables justo donde Windows los lanza solo. Sí: abres un RAR, reinicias y el malware se enciende como si fuera parte del sistema. Ojo con esto.
¿Qué está pasando y por qué importa? WinRAR es ese comodín que todos tenemos para abrir “ese archivo” que alguien mandó. El problema: una vulnerabilidad de travesía de directorio permitía que un RAR malicioso extrajera archivos en rutas arbitrarias, incluida la carpeta de inicio automático de Windows. Resultado: ejecución remota de código sin más acción del usuario que abrir y extraer. Por cierto, ya fue corregida en WinRAR 7.13, pero las versiones anteriores siguen siendo presa fácil… y WinRAR no se actualiza solo.
Contexto rápido
Piensa en la extracción de archivos como sacar cajas de una mudanza. Lo normal es que todas vayan a la sala (tu carpeta de destino). La falla permitía a un atacante meter sigilosamente una caja en el dormitorio (la carpeta de Inicio) aunque tú no se lo hubieras pedido. Cuando enciendes el PC, Windows “abre” esa caja primero. Si dentro hay un ejecutable de RomCom, ya te imaginarás el resto.
CVE-2025-8088, explicado sin dolor
La vulnerabilidad es un fallo de path traversal en WinRAR. Archivos especialmente elaborados engañan al extractor para colocar binarios en ubicaciones sensibles, como la carpeta de Inicio de Windows, logrando persistencia y ejecución al iniciar sesión. Y aquí viene lo bueno (o lo malo): basta con que abras el RAR y extraigas; no hace falta que ejecutes nada manualmente.
- Qué permite: extraer archivos en carpetas controladas por el atacante (p. ej., Inicio).
- Impacto: ejecución automática de malware (RomCom) al iniciar Windows.
- Estado del parche: corregido en WinRAR 7.13; versiones previas siguen vulnerables.
- Dolor adicional: WinRAR no tiene actualizaciones automáticas; toca hacerlo a mano.
Mini-resumen: un RAR tramposo puede plantar un .exe en tu carpeta de inicio automático y arrancar con tu sesión como si nada.
Phishing + WinRAR: la receta perfecta para RomCom
RomCom está usando campañas de phishing para distribuir estos RAR armados. El gancho es clásico: correos con “facturas”, “recursos humanos”, “proyectos urgentes” o “invitaciones” que suenan creíbles. Abres el adjunto, extraes por inercia, y el ejecutable aterriza en la ruta que Windows ejecuta sin preguntar. Es como dejar las llaves bajo el felpudo… y además colgar un cartel que dice “la puerta se abre sola”.
La magnitud importa: WinRAR vive en cientos de millones de equipos. Eso convierte cualquier bug en un megáfono para ciberdelincuentes. Y no es el primer susto: recordemos fallas anteriores como CVE-2023-38831, que escondían ejecuciones en archivos con nombres engañosos. La moraleja: los compresores son objetivos sabrosos porque están en todas partes y la gente confía ciegamente al descomprimir.
Mini-resumen: RomCom combina ingeniería social con un fallo popular. Si usas WinRAR sin actualizar, estás a un clic de regalarles el control.
¿Qué hago hoy, no mañana?
Te dejo un plan rápido y accionable. Nada de teoría que se queda en la nube.
- Actualiza ya a WinRAR 7.13 desde el sitio oficial. Verifica en Ayuda > Acerca de que diga 7.13.
- Desconfía de RAR recibidos por correo, incluso si el remitente parece conocido. Verifica por otro canal.
- Abre adjuntos sospechosos en entorno aislado (Sandbox, VM). Es un minuto más y te ahorra una semana de lío.
- Monitorea rutas de persistencia: revisa “shell:startup” y la carpeta de Inicio en ProgramData. Si aparece un “Updater.exe” que nunca instalaste, mala señal.
- Refuerza el correo: filtra adjuntos .rar y bloquea archivos ejecutables dentro de archivos comprimidos en tu gateway.
- EDR/Antivirus con reglas de persistencia: activa alertas ante escrituras en carpetas de inicio automático.
- Empresas: aplica AppLocker/WDAC para impedir binarios no firmados desde rutas de usuario y Startup.
Escenario realista
Imagínate que recibes “CV_MariaGomez.rar”. Lo extraes al Escritorio. Entre iconos, aparece una carpeta “Docs”. Dentro, todo parece PDF… pero el RAR aprovechó la falla y dejó en tu carpeta de Inicio un “Assistant.exe”. Reinicias y, sin fanfarrias, RomCom se conecta al mando y controla tu equipo: roba credenciales, exfiltra documentos, se mueve lateralmente. Todo porque WinRAR no estaba al día.
Mini-resumen: la cadena completa se rompe con un paso: actualizar. El resto son capas de defensa para cuando alguien, inevitablemente, haga clic.
Lecciones que valen oro
– Los zero-day no avisan: llegan disfrazados de rutina. La ventana entre “descubierto” y “parcheado” puede ser corta; los atacantes se mueven más rápido que nuestros hábitos.
– El software comodín es crítico: compresores, visores, lectores. No son glamorosos, pero tocan todo lo que abres. Mantenerlos al día paga dividendos silenciosos.
– La seguridad es hábito, no proyecto: actualizar WinRAR, verificar remitentes, usar sandbox. Pequeñas costumbres, grandes salvadas.
Termino con una pregunta incómoda: si hoy mismo pierdes una hora por actualizar WinRAR, ¿cuántas horas te ahorras mañana por no limpiar un incidente? Mi apuesta: muchas. Por cierto, si administras equipos, hazlo masivo y documenta. Si usas tu PC personal, ponle fecha a tus updates. La tecnología recompensa la disciplina más que el heroísmo.
CVE-2025-8088 en WinRAR permitió a RomCom ejecutar malware al inicio. La cura existe: WinRAR 7.13. Actualiza ya, valida adjuntos y monitorea rutas de persistencia.
