Alerta crítica: 7-Zip está siendo explotado en vivo. ¿Tu equipo sigue vulnerable?

¿Alguna vez pensaste que un simple ZIP podría tomar control de un equipo entero?
Eso está pasando ahora mismo… y la herramienta afectada es una que todos usamos: 7-Zip.

Una vulnerabilidad crítica en 7-Zip, identificada como CVE-2025-11001, está siendo explotada activamente en entornos reales. Para quienes trabajamos en TI, este incidente no es una simple alerta: es un recordatorio brutal de que las herramientas más básicas también pueden convertirse en vectores de ataque.

¿Cuál es el problema?

La falla —con puntuación CVSS 7.0— permite ejecución remota de código mediante archivos ZIP manipulados. El origen está en cómo 7-Zip maneja los enlaces simbólicos (symlinks) dentro de estos archivos.

Un ZIP malicioso puede obligar al sistema a:

• Acceder rutas fuera del directorio esperado

• Ejecutar código con permisos elevados

• Comprometer sistemas Windows donde 7-Zip esté instalado

En otras palabras: si alguien abre el ZIP equivocado con una versión vulnerable, el atacante puede ejecutar lo que quiera bajo el contexto del usuario o servicio afectado.

Versiones vulnerables y parche disponible

La vulnerabilidad afecta a 7-Zip 21.02 en adelante, y fue corregida recién en la versión 7-Zip 25.00, liberada en julio de 2025.

Si no has actualizado desde entonces, estás en riesgo.

¿Qué tan serio es?

Aunque requiere ciertas condiciones —como tener privilegios elevados o tener habilitado el modo desarrollador— la explotación está ocurriendo en la vida real.

Organismos como NHS England Digital ya confirmaron ataques activos.
Además, existen pruebas de concepto (PoC) circulando públicamente, lo que acelera la adopción del exploit por grupos oportunistas.

Esta es la receta perfecta para que empiecen ataques masivos:

• Software popular

• Vulnerabilidad fácil de explotar

• PoC disponible

• Miles de equipos sin actualizar

¿Quién descubrió el fallo?

El hallazgo fue realizado por Ryota Shiga (GMO Flatt Security), apoyado con herramientas de auditoría impulsadas por inteligencia artificial, y reporte mediante la Zero Day Initiative (ZDI) y expertos de Trend Micro.

Un segundo CVE relacionado

La actualización 25.00 también soluciona CVE-2025-11002, otra falla relacionada con el mal manejo de enlaces simbólicos. Es decir, no es un caso aislado: era un problema estructural en cómo 7-Zip procesaba este tipo de rutas.

¿Cómo afecta esto a tu trabajo diario en TI?

Si trabajas en soporte, administración de sistemas, reparación, desarrollo o ciberseguridad, esto te impacta directamente:

1. Revisión inmediata en todos los equipos

Asegúrate de verificar:

• ¿Qué versión de 7-Zip está instalada?

• ¿Se usa en estaciones de trabajo, servidores o scripts automatizados?

• ¿El personal abre ZIPs enviados por terceros o clientes?

2. Actualiza ya a 7-Zip versión 25.00

No lo pospongas.
Herramientas como 7-Zip se dan por hecho… y ese es el riesgo.

3. Cambia hábitos internos

• Evita abrir ZIP desconocidos, incluso si parecen legítimos.

• Refuerza filtros en correo y endpoints.

• Considera sandboxing para archivos sospechosos.

4. Hazlo parte de tu checklist de mantenimiento

7-Zip es tan común que suele olvidarse en los inventarios de software.
Inclúyelo en tus rondas de actualización y monitoreo.

5. Capacita a tu equipo

Un ZIP malicioso puede comprometer un entorno completo.
Asegúrate de que todos lo tengan claro.

Este incidente demuestra algo importante: los ataques no siempre entran por sistemas complejos; a veces entran por herramientas simples que todos usan.
Mantén tus utilidades actualizadas, revisa tus inventarios y no subestimes las apps “pequeñas”.