En los últimos meses ha vuelto a comprobarse una regla triste pero cierta del mundo de la ciberseguridad: una sola vulnerabilidad bien aprovechada puede abrir muchas puertas. La falla conocida como CVE-2025-8088 en WinRAR, un fallo de recorrido de rutas combinado con el uso de las llamadas Alternate Data Streams (ADS) de NTFS, ha sido explotada tanto por grupos con apoyo estatal como por bandas de cibercriminales orientadas al lucro, y el resultado ha sido la entrega de todo tipo de malware con objetivos y técnicas muy distintas.
Para entender por qué este fallo ha causado tanto revuelo hay que aclarar primero qué son los ADS. En sistemas de archivos NTFS existe la posibilidad de adjuntar flujos de datos alternativos a un mismo fichero; son invisibles al usuario típico y se han usado legítimamente durante años, pero también se pueden usar para ocultar código malicioso dentro de un archivo aparentemente inocuo. Microsoft dedica documentación técnica a estas estructuras en su sitio de desarrollo, y es un buen punto de partida para comprender el problema: Alternate Data Streams (Microsoft).
El vector de explotación descrito por los investigadores consiste en crear un archivo de archivo (por ejemplo un .rar) que contiene un documento legítimo que sirve de señuelo y, junto a él, entradas ADS con cargas ocultas. Cuando WinRAR extrae el contenido, una mala validación de rutas permite llevar estas entradas ADS fuera del contenedor y escribirlas en ubicaciones arbitrarias del sistema, incluyendo carpetas de inicio automático. Esas cargas suelen materializarse como accesos directos (.LNK), archivos HTA, scripts .BAT/.CMD o pequeños downloaders que se ejecutan al iniciar sesión en Windows, otorgando persistencia al atacante de forma silenciosa.
La primera notificación pública sobre uso activo de este fallo vino de investigadores de ESET que identificaron ataques atribuidos a un grupo alineado con Rusia conocido como RomCom (también llamado CIGAR o UNC4895). Posteriormente, el equipo de inteligencia de amenazas de Google documentó que las explotaciones empezaron a observarse desde mediados de julio de 2025 y que la actividad continúa, protagonizada tanto por actores estatales como por actores criminales que persiguen ganancia económica. Puede consultarse el análisis de Google con más detalles técnicos y ejemplos en su publicación: Google Threat Intelligence Group — Exploiting a critical WinRAR vulnerability.
Los esquemas observados son variados. Entre las campañas con motivación de espionaje se han documentado envíos dirigidos a unidades militares ucranianas con señuelos en idioma ucraniano, despliegues de familias de malware como STOCKSTAY o NESTPACKER (también conocido como Snipbot), y la colocación de descargadores HTA en carpetas de inicio que mantienen acceso persistente incluso después de reinicios. Otros actores vinculados a China han aprovechado la misma ruta para dejar archivos por lotes (.BAT) que a su vez descargan y activan componentes como POISONIVY. En paralelo, bandas de cibercrimen han usado la vulnerabilidad para distribuir herramientas de acceso remoto y troyanos de información como XWorm o AsyncRAT, extensiones de navegador maliciosas orientadas al robo bancario y puertas traseras controladas por bots de Telegram.
Uno de los factores que facilita esta propagación es la existencia de un mercado de exploits: vendedores especializados ofrecen a terceras partes código funcional para explotar vulnerabilidades por precios que, según los informes, pueden llegar a ser muy elevados. Google y otras firmas de seguridad interpretan esta dinámica como la mercantilización de exploits, un fenómeno que reduce la barrera técnica para que actores menos sofisticados realicen ataques efectivos contra sistemas sin parchear.
Desde el punto de vista defensivo, la recomendación más directa es aplicar parches cuanto antes: si tienes WinRAR instalado, busca y actualiza a la versión corregida por el proveedor. Además, conviene reducir la exposición a este vector evitando abrir archivos comprimidos recibidos de remitentes no verificados y configurando políticas que impidan la ejecución automática de archivos desde ubicaciones de extracción temporales o la carpeta de inicio sin supervisión. Herramientas de protección de endpoints capaces de detectar escrituras inusuales en carpetas críticas y la monitorización de creación de accesos directos y HTA también ayudan a detectar intentos de persistencia.
Organizaciones y administradores pueden complementar estas medidas con controles de aplicación y restricción de permisos: mantener privilegios limitados para cuentas de usuario, aplicar listas blancas de ejecución cuando sea viable y actualizar mecanismos de detección en soluciones EDR/AV con las firmas y reglas que suministren los proveedores. Para los responsables de seguridad pública y privada, es recomendable seguir los avisos y catálogos de vulnerabilidades activas, como el de la NVD para la propia entrada de CVE (CVE-2025-8088 — NVD) y la recopilación de vulnerabilidades explotadas activamente que publica CISA (CISA — KEV catalog).
Si bien gran parte de la atención recae en WinRAR, el problema de fondo es más amplio: los atacantes combinan técnicas de ocultación en el sistema de archivos con cadenas de explotación y servicios que se venden en el mercado clandestino para lograr acceso rápido y persistente a objetivos valiosos. La lección para administradores y usuarios es clara: mantener software actualizado, limitar la ejecución automática de contenidos y complementar estas buenas prácticas con detección y respuesta coordinadas reduce sustancialmente el riesgo que representan fallos como CVE-2025-8088.
Para quienes quieran profundizar en los indicadores y las tácticas observadas por los investigadores, los equipos de ESET y Google publican análisis técnicos y contextuales que ayudan a identificar patrones y a diseñar reglas de detección más eficaces. La página de investigación de ESET es un buen punto para encontrar estudios relacionados: ESET — WeLiveSecurity, y el informe de Google ofrece ejemplos concretos de cómo se construye la cadena de explotación: GTIG — análisis de la explotación.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...