En esta noticia
En pleno 2025, las ciberamenazas no dan tregua. Esta vez, el foco está en WinRAR, una de las herramientas de compresión de archivos más utilizadas del mundo, que ha sido el blanco de un sofisticado ataque de phishing. La investigación, liderada por la empresa de ciberseguridad ESET, reveló que una vulnerabilidad desconocida hasta ahora fue utilizada para ocultar archivos maliciosos en supuestos documentos de solicitud de empleo.
El hallazgo encendió las alarmas en sectores clave como el financiero, de fabricación, defensa y logística. Según ESET, el ataque fue ejecutado por el grupo RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596, una operación alineada con Rusia que combina cibercrimen con espionaje selectivo.
Cómo funcionó el ataque con WinRAR
El 18 de julio de 2025, ESET identificó una vulnerabilidad de día cero en WinRAR que permitía a los atacantes esconder archivos maliciosos dentro de un comprimido RAR. Cuando la víctima lo abría, el programa extraía no solo el archivo visible, sino también otros ocultos, como una DLL maliciosa en la carpeta temporal y un archivo LNK en el inicio de Windows, logrando así la persistencia en el sistema.
El exploit aprovechaba una falla de path traversal utilizando flujos de datos alternativos (ADS), técnica que dificultaba su detección. Las campañas observadas se desarrollaron entre el 18 y el 21 de julio de 2025 y se enviaron principalmente a empresas en Europa y Canadá bajo la forma de un currículum. Aunque, según la telemetría de ESET, no hubo compromisos confirmados, la amenaza se consideró grave.
Quién está detrás de la ciberamenaza: el grupo RomCom
RomCom es un grupo de amenazas persistentes avanzadas (APT) con historial de explotar vulnerabilidades críticas. Antes de este ataque, ya había utilizado fallas de día cero en Microsoft Word (junio de 2023) y en navegadores como Firefox, Thunderbird y Tor (octubre de 2024).
Su modus operandi combina campañas oportunistas con operaciones de espionaje dirigidas a objetivos de interés geopolítico para Rusia. El malware desplegado permite ejecutar comandos y descargar módulos adicionales en la computadora de la víctima.
Qué hacer para protegerte
ESET recomienda actualizar inmediatamente WinRAR a la versión 7.13 o posterior, publicada el 30 de julio de 2025 para corregir la vulnerabilidad. También deben actualizarse componentes derivados como UnRAR.dll o utilidades de línea de comandos.
El Jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, subraya que no solo los usuarios de WinRAR están en riesgo, sino también los programas que usan su código fuente sin mantenerlo actualizado. Mantener el software al día y evitar abrir archivos de remitentes desconocidos son medidas clave para prevenir este tipo de ataques.