window._taboola = window._taboola || []; var taboola_id = 'mycodeimpremedia-laopinion'; _taboola.push({article:'auto'}); !function (e, f, u, i) { if (!document.getElementById(i)){ e.async = 1; e.src = u; e.id = i; f.parentNode.insertBefore(e, f); } }(document.createElement('script'), document.getElementsByTagName('script')[0], '//cdn.taboola.com/libtrc/'+ taboola_id +'/loader.js', 'tb_loader_script'); if(window.performance && typeof window.performance.mark == 'function') {window.performance.mark('tbl_ic');}

Descubren nuevo método de hackeo a través de WinRAR

Un fallo de seguridad en WinRAR permitió a los hackers utilizar el popular programa de compresión de datos para llevar a cabo ataques a usuarios desprevenidos

WinRAR lanzó una actualización de emergencia para solucionar el fallo de seguridad que le permitía a los hackers llevar ataques a través de la aplicación

WinRAR lanzó una actualización de emergencia para solucionar el fallo de seguridad que le permitía a los hackers llevar ataques a través de la aplicación Crédito: Shutterstock

Avatar de Julián Castillo

Por  Julián Castillo

La firma de ciberseguridad ESET ha levantado la voz de alerta tras descubrir un nuevo método de ataque que aprovecha una vulnerabilidad de zero-day en WinRAR, el popular software para comprimir y descomprimir archivos. El hallazgo revela que un grupo de ciberdelincuentes, vinculado a intereses rusos, ha estado usando esta falla para ocultar malware en archivos RAR disfrazados de solicitudes de empleo, con el objetivo de engañar a víctimas muy específicas.

La investigación, llevada a cabo en julio de 2025, muestra que estos ataques se han dirigido principalmente a empresas de los sectores financiero, de defensa, fabricación y logística en Europa y Canadá. Aunque la campaña fue detectada a tiempo y no se registraron compromisos confirmados, el caso deja claro que los hackers están perfeccionando sus métodos para colarse en sistemas críticos.

Cómo funciona el ataque y por qué WinRAR es la clave

El vector de ataque descubierto por ESET se basa en una vulnerabilidad desconocida hasta entonces, que permitía un path traversal gracias al uso de flujos de datos alternativos (ADS). En palabras simples, los atacantes podían esconder archivos maliciosos dentro de un archivo RAR, sin que el usuario notara nada extraño al abrirlo.

El engaño empezaba con un correo de spearphishing que incluía un archivo comprimido con nombre de currículum vitae, por ejemplo: Eli_Rosenfeld_CV2 – Copy (10).rar. Al abrirlo en WinRAR, el programa extraía no solo el archivo “inofensivo” que el usuario veía, sino también una serie de componentes ocultos, como una DLL maliciosa en la carpeta temporal y un archivo LNK que se instalaba en el inicio de Windows para garantizar la persistencia del malware.

Lo más peligroso es que este exploit se ejecutaba de forma silenciosa, sin que el usuario tuviera que hacer nada más que extraer el archivo. De esta manera, el atacante podía ejecutar comandos remotos, descargar módulos adicionales y espiar el sistema comprometido. WinRAR lanzó una versión parcheada (7.13) apenas un día después de ser notificado, pero para ese momento la vulnerabilidad ya había sido explotada.

Quién está detrás y a quién apuntan

ESET atribuye este ataque al grupo RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596. Se trata de un colectivo alineado con Rusia que combina operaciones de cibercrimen con misiones de espionaje, especialmente contra sectores estratégicos que pueden tener relevancia geopolítica.

RomCom no es nuevo en esto. En el pasado ha explotado vulnerabilidades en Microsoft Word (junio de 2023) y en navegadores como Firefox, Thunderbird y Tor (octubre de 2024). Esta sería al menos la tercera vez que se le detecta aprovechando un zero-day “en la naturaleza”, lo que deja en evidencia su acceso a recursos y conocimientos técnicos avanzados.

Las víctimas potenciales de esta campaña parecen elegidas con pinzas: compañías de defensa, bancos, fabricantes y operadores logísticos que manejan información sensible y que, de ser infiltradas, podrían convertirse en una fuente de inteligencia de alto valor. Según ESET, el ataque encaja perfectamente con los intereses típicos de grupos APT (amenaza persistente avanzada) vinculados a Moscú.

Un recordatorio urgente para los usuarios

Aunque en esta ocasión no se reportaron víctimas comprometidas, el incidente es una advertencia clara: actualizar el software es esencial. La vulnerabilidad no solo afecta a WinRAR, sino también a utilidades que dependen de su biblioteca UnRAR.dll, lo que amplía el alcance del problema.

ESET recomienda instalar la última versión de WinRAR y de cualquier herramienta que use sus componentes, así como extremar las precauciones con archivos recibidos por correo, incluso si parecen legítimos. El spearphishing sigue siendo una de las técnicas más efectivas porque apela a la curiosidad o la urgencia del usuario para abrir el archivo.

El caso también deja ver cómo las operaciones de ciberespionaje se entrelazan con tácticas de cibercrimen más convencionales. Para RomCom, lo mismo es robar datos confidenciales que instalar un backdoor para vender el acceso a otros actores. Y mientras las vulnerabilidades sigan apareciendo, estos grupos seguirán buscando la manera de explotarlas antes de que sean parcheadas.

Sigue leyendo:
CAPTCHAs falsos: el nuevo caballo de Troya que usan los hackers para infectar tu computadora
ESET descubre nueva estafa en WhatsApp: así te engañan con una falsa oferta de empleo
Hackers están utilizando un mecanismo silencioso para poder robar tus contraseñas y dinero

En esta nota

hackers
Trending
Contenido Patrocinado
Trending