Detectan virus peligroso en una app popular: puede robar datos de tu celular y computadora

En pleno 2025, los ciberataques continúan evolucionando y apuntando a herramientas ampliamente utilizadas. Esta vez, el blanco ha sido WinRAR, uno de los programas de compresión y descompresión de archivos más populares del mundo, que se vio afectado por un ataque de phishing aprovechando una vulnerabilidad desconocida hasta ahora.

El hallazgo, realizado por la empresa de ciberseguridad ESET, reveló que los atacantes usaron esta falla para ocultar malware en supuestos documentos de solicitud de empleo, logrando evadir la detección y comprometer equipos de sectores clave.

El incidente se detectó el 18 de julio de 2025, cuando el laboratorio de investigación de ESET identificó una vulnerabilidad de día cero en WinRAR. El error permitía a los cibercriminales esconder archivos maliciosos dentro de un archivo comprimido con extensión .RAR.

Al abrirlo, el programa no solo extraía el documento visible, sino que también liberaba de forma silenciosa otros archivos ocultos. Entre ellos, una DLL maliciosa que se guardaba en la carpeta temporal del sistema y un archivo LNK colocado en el inicio de Windows, lo que permitía mantener la persistencia incluso después de reiniciar el equipo.

ESET explicó que este ataque aprovechaba una falla de path traversal mediante el uso de flujos de datos alternativos (ADS), una técnica poco habitual que dificulta la detección de malware por parte de los antivirus tradicionales.

Las campañas maliciosas estuvieron activas entre el 18 y el 21 de julio de 2025 y apuntaron principalmente a empresas en Europa y Canadá. El contenido fraudulento se presentaba como un currículum enviado por correo electrónico. Si bien, según la telemetría de ESET, no se confirmaron compromisos exitosos, el riesgo potencial llevó a clasificar la amenaza como grave.

La investigación de ESET atribuyó este ataque al grupo RomCom, también conocido como Storm-0978, Tropical Scorpius o UNC2596. Esta operación cibernética, alineada con intereses rusos, combina actividades de cibercrimen con campañas de espionaje dirigidas a objetivos de interés estratégico.

RomCom tiene un historial de explotación de vulnerabilidades críticas. En junio de 2023, utilizó un fallo de día cero en Microsoft Word, y en octubre de 2024 atacó navegadores como Firefox, Thunderbird y Tor. Su modus operandi mezcla campañas masivas con ataques selectivos, desplegando malware capaz de ejecutar comandos y descargar módulos adicionales para expandir sus capacidades.

En este caso, los sectores más afectados o en riesgo fueron el financiero, de manufactura, defensa y logística, todos con alto valor estratégico y potencial para ser explotados en operaciones de inteligencia.

Para mitigar el riesgo, ESET recomienda a todos los usuarios de WinRAR actualizar inmediatamente a la versión 7.13 o posterior, lanzada el 30 de julio de 2025, que corrige esta vulnerabilidad.

También es necesario actualizar componentes relacionados como UnRAR.dll y utilidades de línea de comandos que utilicen el mismo código fuente. Esta advertencia no solo aplica a los usuarios del programa principal, sino también a aplicaciones de terceros que integren su motor de descompresión sin mantenerlo actualizado.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, enfatizó que “la actualización de software y la precaución al abrir archivos de remitentes desconocidos son la primera línea de defensa contra ataques de este tipo”. Asimismo, recomendó deshabilitar la ejecución automática de archivos descargados y mantener activo un sistema de protección en tiempo real.