Netcrook Logo
👤 NEONPALADIN
🗓️ 21 Nov 2025   🌍 Europe

Descomprimido y Expuesto: Cómo una Vulnerabilidad en 7-Zip Abrió las Puertas a Intrusos Cibernéticos

Hackers están explotando una vulnerabilidad recién parcheada en 7-Zip, exponiendo sistemas críticos a ataques sigilosos mediante un truco de archivos engañosamente simple.

Datos Rápidos

  • Una vulnerabilidad crítica en 7-Zip (CVE-2025-11001) está siendo explotada activamente en la naturaleza.
  • La falla permite a los atacantes ejecutar código de forma remota abusando de enlaces simbólicos en archivos ZIP.
  • La vulnerabilidad afecta a las versiones de 7-Zip desde la 21.02 hasta la 24.09 en sistemas Windows.
  • La corrección fue lanzada en la versión 25.00 de 7-Zip, pero muchos sistemas siguen sin actualizarse.
  • NHS England y expertos en seguridad advierten que las cuentas de servicio con altos privilegios son las más expuestas.

La Caja de Pandora de las Herramientas de Compresión

Imagina que una herramienta de confianza, presente en casi todos los kits de TI, de repente se convierte en un caballo de Troya. Esa es la historia que se está desarrollando con 7-Zip, el querido archivador de archivos de código abierto, ahora en el centro de una amenaza cibernética en aumento. En las últimas semanas, los atacantes han aprovechado una falla recién descubierta - una que, si no se corrige, transforma las extracciones de archivos cotidianas en una puerta abierta para la ejecución remota de código.

La vulnerabilidad, identificada como CVE-2025-11001, reside en la forma en que 7-Zip procesa los enlaces simbólicos dentro de archivos ZIP. Los enlaces simbólicos son como atajos, apuntando de un archivo o carpeta a otro. Pero un hacker ingenioso puede crear un archivo ZIP con un atajo malicioso que engaña a 7-Zip para escribir archivos fuera de la carpeta prevista - a veces directamente en rincones sensibles del sistema. Si 7-Zip se ejecuta con altos privilegios, como una cuenta de servicio, este truco puede permitir a los atacantes ejecutar su propio código, eludiendo las barreras de seguridad habituales.

Del Parche al Depredador: Una Carrera Contra la Explotación

El error fue reportado de manera responsable a los desarrolladores de 7-Zip en mayo por Ryota Shiga de GMO Flatt Security, junto con una falla casi idéntica (CVE-2025-11002). Ambas fueron corregidas en julio con la versión 25.00. Pero, como suele ocurrir, el retraso entre el lanzamiento del parche y su adopción generalizada se convirtió en una ventana de oportunidad para los ciberdelincuentes. NHS England ha emitido ahora una advertencia contundente: la explotación activa está en marcha y el código de ataque de prueba de concepto circula en línea.

El matiz técnico radica en cómo 7-Zip convierte los enlaces simbólicos de Linux a Windows. Una peculiaridad en este proceso permite a los atacantes eludir los controles que deberían impedir atajos peligrosos. Como explica el ingeniero de seguridad Dominik C., cuando 7-Zip se ejecuta con una cuenta privilegiada, el exploit permite escribir un programa malicioso en cualquier parte del sistema - el equivalente digital a deslizar una llave maestra bajo el felpudo.

Ecos de Brechas Pasadas y el Panorama General

No es la primera vez que los atacantes han convertido herramientas de compresión de archivos en armas. En 2022, se informó que hackers rusos aprovecharon una vulnerabilidad de día cero en 7-Zip para atacar objetivos ucranianos. Errores similares de recorrido de directorios han afectado a otras utilidades, desde WinRAR hasta software de respaldo empresarial, a menudo con consecuencias devastadoras para quienes tardan en aplicar los parches.

La ola actual de ataques subraya una verdad persistente: incluso las herramientas digitales más confiables pueden convertirse en un riesgo de la noche a la mañana. Con la dependencia global de 7-Zip - a menudo en contextos automatizados y en segundo plano - el riesgo se extiende desde usuarios individuales hasta hospitales, empresas y agencias gubernamentales. El peligro es especialmente alto para organizaciones que ejecutan sistemas Windows con scripts automatizados o permisos elevados.

A medida que el panorama cibernético cambia, la lección es clara: las herramientas rutinarias merecen una vigilancia constante. En el mundo de las cerraduras y llaves digitales, incluso una pequeña falla puede abrir de par en par las puertas. Para usuarios y organizaciones por igual, las actualizaciones a tiempo no son solo una buena práctica - son una defensa esencial.

WIKICROOK

  • Ejecución Remota de Código (RCE): La Ejecución Remota de Código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que a menudo conduce al control total o la vulneración de ese sistema.
  • Enlace Simbólico: Un enlace simbólico es un acceso directo en el sistema de archivos que apunta a otro archivo o carpeta, permitiendo un acceso sencillo desde diferentes ubicaciones sin duplicación.
  • Recorrido de Directorios: El recorrido de directorios es una falla de seguridad que permite a los atacantes acceder o guardar archivos fuera de la carpeta prevista, poniendo en riesgo la exposición de datos sensibles del sistema.
  • Cuenta de Servicio: Una cuenta de servicio es una cuenta no humana creada para que software o procesos automatizados realicen tareas del sistema, a menudo con amplios permisos.
  • Parche: Un parche es una actualización de software lanzada para corregir vulnerabilidades de seguridad o errores en los programas, ayudando a proteger los dispositivos de amenazas cibernéticas y mejorar la estabilidad.
7-Zip vulnerability Cybersecurity threat Remote code execution
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news