7-Zip, la popular alternativa a WinRAR, tiene varias vulnerabilidades que comprometen la seguridad de los usuarios

La compresión y descompresión de archivos es una de las tareas que más se realizan en un ordenador. Existen varias herramientas dedicadas a esta labor, siendo seguramente las más populares WinRAR (por permitir usarla gratuitamente, incluso cuando el período de prueba ha terminado) y WinZip. No obstante, en Internet hay otras muchas alternativas muy recomendables, como 7-Zip, la cual goza también de mucha popularidad.

Aunque el software 7-Zip está especializado en el formato .7z, también puede descomprimir .RAR y .ZIP, y generalmente logra que los archivos comprimidos sean algo más pequeños. Además, tiene una ventaja significativa respecto a WinRAR y WinZip: es gratuito y de código abierto. Este es un punto a tener en cuenta para los usuarios que no quieren adquirir una licencia o lidiar con molestos anuncios.

Sin embargo, los usuarios de 7-Zip deben llevar mucho cuidado. El programa informático se ha convertido en un objetivo frecuente de los hackers y ciberdelincuentes. Es por eso que cada vez hay más ojos sobre él, para detectar posibles fallos de seguridad que pongan en riesgo a los usuarios. De hecho, recientemente se han descubierto dos vulnerabilidades que comprometen los datos de los equipos en los que 7-Zip está instalado.

7-Zip carece de un mecanismo de actualización automática que aplique los parches

Las dos vulnerabilidades descubiertas recientemente se conocían internamente desde hacía meses. Igor Pavlov, desarrollador de 7-Zip, lanzó este verano un parche que las solucionaba. El problema es que el software de compresión y descompresión de archivos no cuenta con un mecanismo de actualización automática, por lo que los usuarios con versiones más antiguas de 7-Zip están en riesgo.

Las dos vulnerabilidades, identificadas como CVE-2025-11001 y CVE-2025-11002, son del mismo tipo: una falla de ejecución remota de código que atraviesa directorios y analiza archivos. Este tipo de vulnerabilidades podrían permitir a los hackers ejecutar código malicioso en un sistema local. Si bien requieren la interacción del usuario para funcionar, el riesgo puede variar según cómo se implemente.

El problema reside en la manera en que 7-Zip gestiona incorrectamente los enlaces simbólicos en archivos ZIP. Un archivo ZIP especialmente diseñado para aprovechar la vulnerabilidad podría provocar que el archivador escriba archivos fuera de la carpeta de extracción prevista, comprometiendo el sistema. Los atacantes podrían aprovechar la vulnerabilidad engañando a los usuarios para que descarguen un archivo ZIP malicioso, incrustando malware en él y ejecutando la carga útil al abrirlo o extraerlo.

Por este motivo, es importantísimo que los usuarios de 7-Zip actualicen el programa a la última versión disponible. Por otro lado, se recomienda no descargar archivos .ZIP de dudosa procedencia, pues podrían poner en peligro los datos de los usuarios. Si se tiene un ordenador con Windows 11, las herramientas de compresión y descompresión no son estrictamente necesarias, puesto que el último sistema operativo de Microsoft también implementa de forma nativa el soporte para archivos .RAR y .7z.

Así que a no ser que comprimir y descomprimir archivos sea una tarea habitual en tu trabajo y requieras de las funciones avanzadas que puedan proporcionar programas como WinRAR, WinZip o 7-Zip, tampoco pierdes nada si no las instalas, ya que Windows 11 puede hacer lo básico sin requerir la ayuda de software de terceros.