¿Utiliza 7-Zip para extraer archivos RAR? ¿A la descarga del archivo ZIP? Entonces es posible que no lo haya afectado durante meses. O tal vez lo sea. Y no te diste cuenta.
En octubre de 2025, se hizo público: 7-Zip tenÃa dos vulnerabilidades de alto nivel (CVE-2025-11001 y CVE-2025-11002) que los atacantes explotaron para ejecutar código arbitrario en su máquina.
El problema: Traversal de Symlink y ejecución de código
¿Suena impresionante? Lo es, también. Asà es como funciona:
Un atacante crea un archivo ZIP malicioso con datos especialmente manipulados. Si desempaqueta el archivo con una versión anterior de 7-zip, el procesamiento incorrecto de enlaces simbólicos (enlaces simbólicos) explota un error transversal de directorio. Esto permite al atacante escribir archivos fuera de la carpeta de destino, posiblemente con código malicioso en ubicaciones sensibles del sistema.
Un clásico ataque transversal de Symlink. Esto no es nuevo para la seguridad, pero si llega a 7-Zip, una herramienta que millones de personas utilizan todos los dÃas, se vuelve grave.
¿Cuánto tiempo ha estado ahà el problema?
Esa es la pregunta aterradora. Las brechas se informaron al desarrollador el 2 de mayo de 2025. El anuncio público no se hizo hasta el 7 de octubre de 2025.
Eso es más de cinco meses, durante los cuales los investigadores de seguridad le dieron tiempo a Igor Pavlov para desarrollar un parche. Esto se llama divulgación responsable. El lado bueno: El parche estaba listo antes de que el mundo supiera que habÃa un problema.
¿El lado malo? Todos eran vulnerables todo el tiempo.
La versión 25 fue la solución.
Igor Pavlov, el desarrollador de 7-Zip, actuó rápidamente. La versión 25.00 se lanzó el 5 de julio de 2025 y solucionó las vulnerabilidades junto con varios problemas menores con el manejo de archivos RAR y COM. La versión estable actual es 25.01 (agosto de 2025).
El problema: Nadie sabÃa por qué la actualización era importante. Porque los detalles de seguridad no fueron publicados.
Por qué esto es tan peligroso: El problema de la actualización de 7 cremalleras
Aquà está la debilidad clave: 7-Zip no se actualiza automáticamente. Muchas personas usan copias portátiles más antiguas que nunca se actualizan.
Esto no es solo una debilidad de diseño. Este es un desastre de arquitectura de seguridad.
Compara esto con Chrome, Firefox o Windows: Estas herramientas se actualizan automáticamente en segundo plano. Obtienes las correcciones de seguridad sin pensarlo.
¿7 cremalleras? Tienes que ir al sitio web manualmente, descargar y actualizar la nueva versión. ¿Cuántos de ustedes hacen esto regularmente?
Exactamente.
Y luego están los entornos empresariales: 7-Zip a menudo no es capturado por los sistemas de administración de parches porque no se instala a través del instalador de Windows o un repositorio central. Vive como un cuerpo extraño en la infraestructura de TI.
La escalada de los problemas de 7-Zip
Esta no es la primera vez que 7-Zip llega a los titulares. A principios de 2025, se descubrió CVE-2025-0411, una vulnerabilidad que permitÃa a los atacantes eludir las salvaguardas de Windows Mark-of-the-Web (MoTW) ocultando archivos en archivos anidados y eliminando la advertencia "descargado de Internet". Esto se habÃa corregido en la versión 24.09 (noviembre de 2024).
Pero, ¿cuántos habÃan instalado realmente 24.09?
Ahora versión 25.01. ¿Cuántos lo actualizarán realmente?
Este es el patrón que está surgiendo: 7-Zip es como un automóvil con nuevos defectos de seguridad semanales, y el mecánico solo puede esperar que venga solo a solucionarlo.
CVSS 7.0: ¿Qué significa eso?
Ambas vulnerabilidades tienen una puntuación base CVSS de 7.0. La explotación requiere la interacción del usuario, pero el obstáculo es bajo: Basta con abrir o extraer un archivo malicioso.
Esto no es «crÃtico», sino «alto». La calificación se debe a que todavÃa tiene que hacer clic en un archivo. ¿Pero con archivos ZIP de correos electrónicos? ¿Descargas de Internet? Esta es exactamente la interacción que ocurre millones de veces cada dÃa.
¿Qué se recomienda?
La respuesta es clara: Si usa 7-Zip, debe actualizar inmediatamente a la versión 25.01 o posterior, directamente desde el sitio web oficial descargable. El instalador reemplaza la copia anterior y mantiene la configuración.
¿Y hasta entonces? Tenga mucho cuidado con los archivos ZIP de fuentes desconocidas. Evite abrir archivos que parezcan sospechosos o provengan de correos electrónicos no verificados.
El patrón más grande
Esto es lo que es fascinante y al mismo tiempo aterrador: Las herramientas de compresión están en todas partes. ZIP, RAR, 7Z, todos ampliamente utilizados, todos a menudo subestimados en seguridad.
Y si bien 7-Zip es un proyecto legÃtimo de código abierto de Igor Pavlov, que obviamente administra por su cuenta, aquà hay un problema fundamental: La infraestructura crÃtica con un solo mantenedor y sin mecanismo de actualización automática es un riesgo de seguridad, no una solución.
¿Qué queda?
Las buenas noticias: El parche está aquà y funciona.
Las malas noticias: Millones nunca lo sabrán. Millones nunca se actualizarán. Los atacantes lo saben. ??
Conclusión: 7-Zip es una gran herramienta, pero también es un recordatorio de que no todos los proyectos de software tienen prácticas de seguridad modernas. Actualizaciones automáticas, divulgación responsable, parcheo rápido, todo bueno y agradable. Pero si su herramienta no se pone al dÃa con el tiempo, se convierte en un riesgo de seguridad.
Actualizado a 25.01. ¡Ahora! Mañana no.
ES 
DE 
EN 
FR 
IT