Cabecera blog ciberseguridad

Explotación de vulnerabilidades para las que ya existe un parche. Una amenaza evitable que se cierne sobre las empresas

- Ciber 4 All Team
La explotación de vulnerabilidades para las que ya existe un parche es perfectamente evitable mediante la gestión de vulnerabilidades

La explotación de vulnerabilidades para las que ya existe un parche puede provocar incidentes de seguridad que se podrían evitar con una gestión de vulnerabilidades eficiente

Hace unas semanas, expertos en ciberseguridad alertaron de que grupos de amenazas persistentes avanzadas estaban explotando una vulnerabilidad crítica presente en WinRAR, la icónica aplicación que permite comprimir y descomprimir archivos y que está instalada en millones de ordenadores personales y empresariales.

¿Se trata de una vulnerabilidad de día 0? No. Esta vulnerabilidad (CVE-2025-8088) fue descubierta en el verano de 2025 y para subsanarla, se lanzó una nueva versión del programa, WinRAR 7.13. Aun así, los actores maliciosos siguen empleándola para atacar sistemas corporativos.

La explotación de vulnerabilidades para las que ya existe un parche es una constante en el ámbito de la ciberseguridad que tiene su origen en la ausencia de una gestión de vulnerabilidades eficaz y en una falta de control sobre los activos digitales de las empresas.

¿A qué se exponen las empresas que no mitigan vulnerabilidades presentes en el software y hardware que emplean? ¿Cómo se puede prevenir la explotación de vulnerabilidades para las que ya existe un parche? Resolvemos estas cuestiones a continuación.

El caso de WinRAR: Para solventar la vulnerabilidad hay que volver a descargar e instalar el programa

¿En qué consiste la vulnerabilidad que afecta a las versiones para Windows de WinRAR anteriores a la 7.13? Es una vulnerabilidad de Path Traversal, una de las debilidades más peligrosas de los software, según CISA y MITRE.

Esta vulnerabilidad permite a los actores hostiles ejecutar código arbitrario mediante archivos RAR maliciosos. De tal forma que una vez que la víctima descarga un archivo malicioso y lo descomprime usando WinRAR, su ordenador está comprometido. Una vez que vuelva a iniciar sesión en su equipo, los actores podrán ejecutar código de forma remota, infectando con malware el ordenador para conseguir sustraer ingentes cantidades de información.

¿Quién está detrás de la explotación activa de esta vulnerabilidad? Google Threat Intelligence ha señalado a grupos de amenazas persistentes avanzadas vinculados a Rusia o China que buscan realizar acciones de ciberespionaje y grupos delictivos cuyo objetivo es obtener ganancias económicas.

¿Por qué medio año después de que ya se desarrollase un parche se sigue explotando activamente esta vulnerabilidad en entornos empresariales?

WinRAR no tiene una función de actualización automática. De tal forma que no lanzó una actualización de seguridad, sino que sacó al mercado una nueva versión del programa con la vulnerabilidad subsanada. Lo que implica que ciudadanos y empresas han tenido que descargarse el programa de nuevo. ¿Qué ha sucedido? En muchas organizaciones no se ha hecho, de tal forma que están expuestas a la explotación de la vulnerabilidad.

Las pequeñas y medianas empresas están muy expuestas a la explotación de vulnerabilidades para las que ya existe un parche

Al abordar el problema de la explotación de vulnerabilidades para las que ya existe un parche debemos tener en cuenta que todo el tejido productivo está expuesto a esta amenaza. Sin embargo, el riesgo es aún mayor en las pequeñas y medianas empresas. ¿Por qué?

Las grandes compañías llevan lustros invirtiendo en ciberseguridad e implementando políticas y mecanismos técnicos y organizativos para detectar, gestionar y mitigar las vulnerabilidades presentes en sus activos digitales.

Sin embargo, en el caso de las pymes la ciberseguridad no sido una prioridad. De tal forma que muchas organizaciones no:

  • Tienen un inventario de todos los programas y dispositivos con los que trabajan.
  • Realizan auditorías de seguridad periódicas para detectar debilidades presentes en su infraestructura tecnológica.
  • Cuentan con un servicio de gestión de vulnerabilidades preparado para afrontar la remediación de las vulnerabilidades, priorizándolas en función de la gravedad de su explotación.
  • Disponen de políticas que señalen que se deben instalar de forma inmediata todas las actualizaciones de seguridad lanzadas por los fabricantes del hardware y el software que usan.
  • Aplican principios básicos y buenas prácticas en materia de ciberseguridad como segmentar sus redes, aplicar el principio de mínimo privilegio o gestionar las cuentas de los trabajadores en los programas corporativos.
  • Forman a sus profesionales para evitar que sean engañados y descarguen en sus dispositivos archivos o aplicaciones sospechosos.

Estos factores provocan que presente un nivel de exposición elevado ante la explotación de vulnerabilidades para las que ya existe un parche.

El uso de dispositivos personales para trabajar incrementa el riesgo de sufrir la explotación de vulnerabilidades para las que ya existe un parche

Una cuestión que facilita la explotación de vulnerabilidades para las que ya existe un parche en entornos empresariales es el uso de dispositivos personales, como móviles u ordenadores, para acceder a software corporativos y realizar tareas profesionales.

¿Por qué? En muchas empresas no existe control alguno sobre los equipos personales empleados para trabajar. De tal forma que los actores maliciosos pueden explotar vulnerabilidades en aplicaciones de uso masivo como WinRAR para infectar esta clase de dispositivos y acceder a programas e información crítica para una empresa.

A ello debemos sumar el hecho de que en gran parte de las plantillas tiene una formación precaria en materia de ciberseguridad lo que puede redundar en que los profesionales:

  • Sean víctimas de ataques que emplean técnicas de ingeniería social.
  • No implementen medidas básicas de seguridad como actualizar las aplicaciones web o móviles y los sistemas operativos de sus dispositivos lo más rápido posible para evitar la explotación de vulnerabilidades para las que ya existe un parche.
La explotación de vulnerabilidades para las que ya existe un parche se puede prevenir con una gestión de vulnerabilidades eficaz

La explotación de vulnerabilidades para las que ya existe un parche puede conllevar graves consecuencias completamente evitables

¿Cuáles son las potenciales consecuencias de la explotación de vulnerabilidades para las que ya existe un parche? Si los actores logran colarse en los dispositivos de sus víctimas e infectarlos pueden conseguir acceso remoto a los mismos y:

  • Tener acceso a una gran cantidad de datos empresariales.
  • Robar credenciales de acceso y cookies de sesión para entrar en software corporativos.
  • Realizar capturas de pantalla.
  • Conseguir datos de índole financiera.
  • Obtener información confidencial de gran valor como listados de clientes, propiedad industrial o información económica.
  • Espiar al profesional y a su empresa durante meses, pasando desapercibido e, incluso, consiguiendo moverse lateralmente por los sistemas corporativos.

Estamos hablando, por lo tanto, de consecuencias de suma gravedad que las empresas necesitan prevenir para que no sufrir incidentes de seguridad con repercusiones económicas y legales severas.

La gestión de vulnerabilidades es un elemento central de cualquier estrategia de ciberseguridad

¿Qué evidencia todo lo que hemos ido desgranando? La gestión de vulnerabilidades juega un papel crítico a la hora de garantizar un nivel de seguridad adecuado en una empresa.

De hecho, como ya apuntamos al inicio de este artículo, la explotación de vulnerabilidades para las que ya existe un parche es consecuencia directa de una deficiente gestión de vulnerabilidades.

La importancia que juega este servicio de ciberseguridad en la estructura defensiva de cualquier empresa es enorme. Por lo que no puede sorprendernos que normas como la directiva NIS2 obliguen a las organizaciones que operan en sectores críticos a realizar una eficiente gestión de las vulnerabilidades presentes en su infraestructura.

Más allá de su relevancia en sectores críticos como el financiero, la sanidad o la energía, la gestión de vulnerabilidades es una herramienta clave en cualquier estrategia de seguridad frente a las vulnerabilidades que se van dando a conocer diariamente.

Así, los servicios de gestión de vulnerabilidades se encargan de:

  • Elaborar un inventario de activos, clasificarlos e identificar a los responsables de la seguridad de cada uno de ellos.
  • Monitorizar de manera continua el estado de la seguridad de los activos, teniendo en cuenta las vulnerabilidades emergentes.
  • Priorizar la subsanación de las vulnerabilidades identificadas en función de parámetros como la probabilidad de que sean explotadas en el corto plazo o el posible impacto que tendría su explotación en el modelo de negocio de la empresa.
  • Diseñar planes de acción para facilitar la mitigación de las vulnerabilidades.
  • Reducir los tiempos de detección de nuevas vulnerabilidades y de mitigación de las vulnerabilidades halladas en la infraestructura tecnológica.
  • Comprobar que las labores de mitigación se realizaron correctamente.
  • Garantizar el cumplimiento de la normativa en materia de gestión de vulnerabilidades.

En definitiva, la explotación de vulnerabilidades para las que ya existe un parche debería ser residual. Sin embargo, una deficiente gestión de las vulnerabilidades puede dejar a las empresas expuestas ante debilidades para las que ya existen métodos de mitigación.