La seguridad informática vuelve a colocar a uno de los programas más veteranos de Windows en el centro de la polémica. WinRAR, la herramienta de compresión más extendida del ecosistema PC, enfrenta una vulnerabilidad grave que ya está siendo explotada activamente, según acaba de confirmar la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA). El incidente afecta únicamente a la versión para Windows, pero su alcance es considerable: WinRAR está instalado en cientos de millones de equipos en todo el mundo.
La debilidad, identificada como CVE-2025-6218, pone de manifiesto que incluso los programas más básicos aquellos que muchos usuarios consideran “inofensivos” pueden convertirse en la puerta de entrada a ataques sofisticados. Y lo preocupante es que la explotación no es teórica: distintas campañas maliciosas ya están aprovechando este fallo para ejecutar código en los equipos vulnerables.
-¿Cómo funciona la vulnerabilidad CVE-2025-6218?
La vulnerabilidad tiene su origen en un problema de path traversal o cruce de rutas. Este tipo de errores permite que un archivo manipulado de forma maliciosa se escriba en ubicaciones específicas del sistema, incluso en zonas en las que la aplicación no debería tener control directo. En la práctica, un atacante puede crear un archivo comprimido o una página web que, al ser abierta por la víctima, aproveche la vulnerabilidad para ejecutar código con los mismos permisos que el usuario.
Esto ocurre sin que el usuario perciba nada extraño: basta con abrir un archivo RAR manipulado o acceder a un sitio malicioso que interactúe con WinRAR para que el ataque se dispare. El fallo afecta solo a las versiones de WinRAR para Windows, mientras que las ediciones para Linux, macOS o Android no presentan riesgo.
-¿Qué tácticas están utilizando los atacantes?
Los investigadores que han analizado los incidentes destacan un patrón claro: la vulnerabilidad ya forma parte del arsenal de varios grupos de amenazas.
Entre las campañas detectadas se encuentran:
- Correos electrónicos de phishing que incluyen archivos RAR armados.
- Paquetes comprimidos que contienen documentos legítimos de Word acompañados de plantillas de macros modificadas.
- Archivos diseñados para escribir contenido malicioso en ubicaciones sensibles del sistema, como la carpeta de inicio de Windows.
El método más común consiste en incluir en el archivo un documento aparentemente inofensivo acompañado de una plantilla Normal.dotm alterada. Al sustituir la plantilla global de Word, el atacante garantiza que su macro se ejecute automáticamente, creando una puerta trasera sin interacción adicional del usuario. Este mecanismo permite evadir incluso los bloqueos de macros que Microsoft aplica por defecto al correo electrónico.
El resultado: el atacante obtiene acceso persistente al equipo, capaz de ejecutarse en cada inicio de sesión.
-Un problema que afecta tanto a usuarios domésticos como a organizaciones
CISA señala que los grupos que están explotando este fallo no se limitan a atacar usuarios particulares. Organizaciones públicas, empresas privadas y entidades gubernamentales están en el punto de mira. WinRAR sigue siendo una herramienta habitual en entornos corporativos, incluso en sectores donde la política de seguridad es estricta.
Esto amplifica la gravedad del incidente: un simple archivo comprimido puede comprometer estaciones de trabajo completas, repositorios internos y equipos conectados a redes gubernamentales.
-La solución ya está disponible: actualizar a WinRAR 7.12 o superior
RARLAB actuó con rapidez y ya ha publicado un parche para corregir la vulnerabilidad. La actualización efectiva llega con WinRAR 7.12, y la recomendación es clara: instalarla cuanto antes en cualquier equipo que utilice el software.
Los pasos para comprobar la versión actual son sencillos:
- Abrir WinRAR.
- Acceder al menú Ayuda.
- Seleccionar Acerca de WinRAR.
Si la versión es anterior a la 7.12, el programa debe actualizarse desde el sitio oficial del desarrollador para evitar descargas manipuladas o distribuciones modificadas por terceros.
-El papel de WinRAR en el ecosistema Windows
WinRAR es uno de esos programas que muchos usuarios instalan automáticamente en cada equipo nuevo. Su presencia es tan común que se ha convertido en un componente casi invisible del ecosistema Windows, a menudo ignorado en políticas de seguridad o auditorías rutinarias. Precisamente por ello, una vulnerabilidad como CVE-2025-6218 resulta tan peligrosa: se aprovecha de un software omnipresente que rara vez recibe atención. Las campañas activas demuestran que los atacantes lo saben y están explotando ese punto ciego.
El incidente de WinRAR es un buen ejemplo de por qué las actualizaciones de seguridad no deben tomarse a la ligera. Un fallo en una herramienta cotidiana puede convertirse en un vector de ataque crítico, y en este caso, la explotación ya está ocurriendo. La solución es clara y directa: actualizar WinRAR a la versión 7.12 o superior y extremar precauciones con los archivos comprimidos que provengan de fuentes desconocidas. WinRAR ha salido del paso con rapidez, pero el alcance de su base instalada hace que la vulnerabilidad siga siendo un problema activo. Hasta que la actualización se normalice, seguirá siendo una de las amenazas más relevantes en el entorno Windows.