Alerta por falla de seguridad en WhatsApp para Windows

La empresa de ciberseguridad ESET Latinoamérica alertó sobre una grave vulnerabilidad descubierta en la versión de escritorio de WhatsApp para Windows. Esta falla, ya corregida por Meta mediante una actualización, permitía a atacantes ejecutar código malicioso disfrazado como un archivo de imagen.

Identificada como CVE-2025-30401, la vulnerabilidad fue descubierta por un investigador independiente del programa de recompensas por errores (Bug Bounty) de Meta. Aunque no hay evidencia de que haya sido explotada activamente, el hallazgo oportuno permitió su corrección antes de que fuera utilizada con fines maliciosos.

La falla permitía que los atacantes enviaran archivos ejecutables camuflados como imágenes o documentos aparentemente inofensivos. Esto era posible gracias a la manipulación del tipo MIME, un estándar que indica a las aplicaciones cómo interpretar un archivo. Así, el atacante podía engañar tanto al sistema como al usuario, haciendo pasar un archivo peligroso por una imagen JPG o un PDF.

WhatsApp ya corrigió el error mediante una actualización automática. Para estar protegido, los usuarios deben asegurarse de contar con la versión 2.2450.6 o posterior de la aplicación en Windows.

“La explotación de esta vulnerabilidad habilitaba a que ciberatacantes pudieran enviar archivos ejecutables camuflados como imágenes u otros archivos similares. Esto se logra modificando el tipo MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, el atacante podría enviar un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo similar. Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar malware como infostealers, spyware, entre otras amenazas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET recuerda la importancia de tomar precauciones al usar aplicaciones de mensajería y recomienda:

• Mantener actualizados los dispositivos, sistemas operativos y aplicaciones.
• Usar soluciones de seguridad confiables como antivirus o antimalware, y mantenerlas actualizadas.
• No abrir archivos sospechosos recibidos por WhatsApp, incluso si parecen imágenes o documentos conocidos.
• Desconfiar de mensajes urgentes de números desconocidos, especialmente si se hacen pasar por bancos, instituciones gubernamentales o proveedores de servicios.
• Nunca compartir datos sensibles como claves, contraseñas o códigos de validación con desconocidos o a través de mensajes no verificados.

"El objetivo final de los atacantes siempre es el robo de información o una estafa relacionada con la compra de productos inexistentes a precios irrisorios, entre otros engaños posibles. Las excusas son infinitas y los mensajes que utilizan suelen ser cada vez más convincentes o están mejor diagramados para caer en el engaño”, concluyó Gutiérrez Amaya de ESET Latinoamérica.