Alerta de WhatsApp: vulnerabilidad permitía la ejecución de código malicioso disfrazado de imágenes

ESET, compañía líder en detección proactiva de amenazas, advierte que WhatsApp lanzó una actualización de su aplicación para Windows con el objetivo de corregir una vulnerabilidad que habilitaba a cibercriminales la ejecución de código malicioso oculto en mensajes que simulaban ser imágenes.

La falla dentro de la aplicación fue registrada como CVE-2025-30401, y fue descubierta por un investigador independiente dentro del programa de Bug Bounty de Meta.

Según comentó la empresa, no hay pruebas de que la vulnerabilidad haya sido explotada activamente ya que el hallazgo a tiempo habría permitido su corrección antes de que pudiera usarse de forma maliciosa.

WhatsApp corrigió esta vulnerabilidad, que exponía a sus usuarios, con una actualización automática de la aplicación. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la misma en Windows.

MIME (Multipurpose Internet Mail Extensions) es un estándar que permite a las aplicaciones identificar el tipo de contenido de un archivo e interpretarlo. Por ejemplo: image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba engañar tanto a la aplicación como al usuario, aumentando las chances de que el usuario lo abra por ser un archivo de apariencia inofensiva. 

En este contexto, ESET recuerda que siempre al recibir un mensaje de un contacto no agendado, y más aún si dice ser de un banco, una oficina de gobierno, o un proveedor de servicios, y que requiere una acción urgente por parte del usuario, se recomienda no contestar ni hacer clic en enlaces. Si tienes la posibilidad, bloquear al remitente y luego contactar a la entidad para corroborar que el mensaje sea legítimo. De hecho, las políticas de bancos, servicios al ciudadano y atención al cliente no permiten que ningún operador solicite claves, contraseñas o códigos de validación.

Ten en cuenta los siguientes puntos para mantenerse protegidos:

- Mantener actualizados los dispositivos, sistemas operativos y aplicaciones. Las actualizaciones no solo mejoran la experiencia, sino que también parchean vulnerabilidades encontradas.

- Contar con una solución antimalware o antivirus instalada en los dispositivos y también mantenla actualizada.

- Ser cuidadosos con el manejo de archivos que lleguen al WhatsApp, ya que los cibercriminales buscan nuevas formas de engañar.

- Recordar que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de phishing y otros engaños están a la orden del día. Desconfiar de mensajes urgentes de personas o entidades que parezcan raro que se contacten. Siempre verificar con la fuente original.

- Nunca dar información personal o financiera a desconocidos y siempre tener en cuenta que nadie puede solicitar claves o códigos de validación.