Una reciente vulnerabilidad detectada en la aplicación de WhatsApp para Windows expuso a los usuarios al riesgo de ejecución de código malicioso, según advirtió la compañía de ciberseguridad ESET Latinoamérica. El fallo, identificado como CVE-2025-30401, permitía a atacantes disfrazar archivos peligrosos como imágenes, engañando al sistema para su ejecución.
La vulnerabilidad fue descubierta por un investigador independiente a través del programa de recompensas por errores de Meta, la empresa matriz de WhatsApp. Si bien no se han encontrado indicios de que esta vulnerabilidad haya sido explotada activamente, su detección temprana facilitó la implementación de una solución antes de que pudiera ser utilizada con fines maliciosos.
WhatsApp respondió a esta amenaza con una actualización automática de su aplicación para Windows. Para garantizar la protección, los usuarios deben verificar que estén utilizando la versión 2.2450.6 o una posterior. La comprobación de la versión se realiza a través del menú de Configuración, en la sección de Ayuda de la aplicación.
De acuerdo con Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, la explotación de esta vulnerabilidad se basaba en la manipulación del tipo MIME (Multipurpose Internet Mail Extensions). Esta técnica permitía a los ciberdelincuentes enviar archivos ejecutables camuflados como formatos inofensivos, como imágenes o documentos PDF. Al modificar el tipo de contenido, la aplicación interpretaba erróneamente el archivo, lo que podía llevar a la ejecución de malware al hacer clic, con consecuencias como la instalación de programas espía o el robo de información sensible.
El estándar MIME es fundamental para la correcta interpretación de los archivos por parte de las aplicaciones. Al ser alterado, se genera una discrepancia entre la apariencia del archivo y su contenido real, lo que incrementa la probabilidad de que el usuario lo abra sin sospechar.
En este contexto, ESET enfatiza la importancia de la cautela ante mensajes no solicitados, especialmente aquellos que demandan acciones urgentes y provienen de remitentes desconocidos o no agendados. La compañía recomienda no interactuar con estos mensajes, evitar hacer clic en enlaces y, en caso de duda, verificar la legitimidad de la comunicación contactando directamente a la entidad supuestamente remitente.
Gutiérrez Amaya también señaló que este tipo de tácticas son comunes en campañas de phishing, donde la urgencia y el engaño buscan inducir a las víctimas a revelar información personal o financiera.
Para mitigar estos riesgos, ESET recomienda a los usuarios:
- Mantener actualizados todos los dispositivos, sistemas operativos y aplicaciones.
- Utilizar una solución antimalware y asegurarse de su correcta actualización.
- Ejercer precaución al interactuar con archivos recibidos a través de WhatsApp.
- Desconfiar de mensajes inesperados que soliciten acciones urgentes o información personal.
- Verificar la autenticidad de las comunicaciones directamente con la fuente.
- Abstenerse de proporcionar información confidencial a desconocidos.
Para obtener más detalles sobre seguridad informática, se puede visitar el portal de ESET: https://www.welivesecurity.com/es/seguridad-digital/whatsapp-vulnerabilidad-codigo-malicioso-imagenes/
ESET también invita a conocer su podcast Conexión Segura, disponible en: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Fuente: ESET
