En los últimos días, WhatsApp lanzó una actualización en su aplicación para Windows para corregir una vulnerabilidad que habilitaba la ejecución de código malicioso oculto en mensajes que simulaban ser imágenes.

Actualización disponible

WhatsApp corrigió la vulnerabilidad con una actualización automática. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la aplicación en Windows. Puedes verificar manualmente si la app está actualizada:

whatsApp-verificar-version
Imagen 1: Para verificar versión de WhatsApp en app Windows. Ir a Menú/ Configuración/ Ayuda, la versión debe ser 2.2450.6 o superior,

Vulnerabilidad detectada

La falla fue registrada como CVE-2025-30401, y fue descubierta por un investigador independiente dentro del programa de Bug Bounty de Meta. Según la empresa, no hay pruebas de que haya sido explotada activamente; el hallazgo a tiempo permitió su corrección antes de que pudiera usarse de forma maliciosa.

En qué consistía la falla

La explotación de esta vulnerabilidad habilitaba a que los ciberatacantes pudieran enviar archivos ejecutables (.exe) camuflados como imágenes u otros archivos similares (como PDF). Esto se logra modificando el tipo MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, un archivo ejecutable (.exe) malicioso podía parecer una imagen legítima y segura. El archivo se mostraba según su tipo MIME, pero se abría con el programa asociado a su extensión real, habilitando la ejecución inadvertida de código malicioso.

El atacante podía enviar un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo similar.  Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar malware como infostealers, spyware, entre otras amenazas.

¿Qué es MIME?

MIME (Multipurpose Internet Mail Extensions) es un estándar que permite a las aplicaciones identificar el tipo de contenido de un archivo e interpretarlo. Por ejemplo: image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba engañar tanto a la app como al usuario, aumentando las chances de que el usuario lo abra, al ser un archivo de apariencia inofensiva.

Antecedentes de últimas vulnerabilidades corregidas

En julio de 2024, WhatsApp corrigió un problema similar que permitía la ejecución de archivos adjuntos de Python y PHP —sin advertencia— en usuarios que cuenten con Python instalado. Más recientemente, tras un reporte de investigadores de Citizen Lab de la Universidad de Toronto, Meta parcheó una vulnerabilidad de zero clics y zero day que fue explotada para instalar el spyware Graphite de Paragon.

Prestar atención a esos mensajes raros e inesperados

En este punto es necesario recordar que es mejor prevenir que lamentar; siempre que recibas un mensaje de un contacto no agendado —y más aún si dice ser de una entidad, como un banco, una oficina del gobierno, o un servicio— y que requiere una acción urgente de tu parte, no contestes ni hagas clic en enlaces.

Si tienes la posibilidad, bloquea al remitente y luego contacta a la entidad para corroborar que el mensaje sea legítimo. De hecho, las políticas de bancos, servicios al ciudadano y atención al cliente no permiten que ningún operador te pida claves, contraseñas o códigos de validación.

Este tipo de mensajes inesperados, que te instan a actuar con urgencia, es la forma en que se diagraman las campañas de phishing, cada vez más difíciles de detectar. El fin último será el robo de tu información, o una estafa relacionada con la compra de productos inexistentes a precios irrisorios, entre otros engaños posibles. Las excusas son infinitas y los mensajes que utilizan son cada vez más convincentes o están mejor diagramados para que caigas en el engaño.

Cómo mantenerse protegido

  • Mantén actualizados tus dispositivos, sistemas operativos y aplicaciones. Las actualizaciones no solo mejoran la experiencia, sino que también parchean vulnerabilidades encontradas.
  • Utiliza una solución antimalware o antivirus y también mantenla actualizada.
  • Sé cuidadoso con el manejo de archivos que lleguen a tu WhatsApp, ya que los cibercriminales buscan nuevas formas de engañar. Mantente atento.
  • Recuerda que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de phishing y otros engaños están a la orden del día. Desconfía de mensajes urgentes de personas o entidades que te parezca raro que te contacten. Siempre chequea con la fuente original.
  • Nunca des información personal o financiera a desconocidos y recuerda que nadie puede pedirte claves o códigos de validación.