Alerta de WhatsApp: vulnerabilidad permitía la ejecución de código malicioso disfrazado de imágenes.

ESET Latinoamérica advierte sobre una vulnerabilidad en la aplicación para Windows que permitía la

ejecución de código malicioso haciéndolo pasar por un archivo de imagen.

ESET, compañía líder en detección proactiva de amenazas, advierte que WhatsApp lanzó una
actualización de su aplicación para Windows con el objetivo de corregir una vulnerabilidad que
habilitaba a cibercriminales la ejecución de código malicioso oculto en mensajes que simulaban ser
imágenes.
La falla dentro de la aplicación fue registrada como CVE-2025-30401, y fue descubierta por un
investigador independiente dentro del programa de Bug Bounty de Meta. Según comentó la empresa,
no hay pruebas de que la vulnerabilidad haya sido explotada activamente ya que el hallazgo a tiempo
habría permitido su corrección antes de que pudiera usarse de forma maliciosa.
WhatsApp corrigió esta vulnerabilidad, que exponía a sus usuarios, con una actualización automática de
la aplicación. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la
misma en Windows.

Para verificar la versión de WhatsApp en Windows: Ir a Menú/ Configuración/ Ayuda, la versión debe ser 2.2450.6 o

superior.

ESET -Nota de Prensa

“La explotación de esta vulnerabilidad habilitaba a que ciberatacantes pudieran enviar archivos
ejecutables camuflados como imágenes u otros archivos similares. Esto se logra modificando el tipo
MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, el atacante podía enviar
un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo
similar. Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar
malware como infostealers, spyware, entre otras amenazas.”, comenta Camilo Gutiérrez Amaya, Jefe del
Laboratorio de Investigación de ESET Latinoamérica.
MIME (Multipurpose Internet Mail Extensions) es un estándar que permite a las aplicaciones identificar
el tipo de contenido de un archivo e interpretarlo. Por ejemplo: image/jpeg indica una imagen en
formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba
engañar tanto a la aplicación como al usuario, aumentando las chances de que el usuario lo abra por ser
un archivo de apariencia inofensiva.
En este contexto, ESET recuerda que siempre al recibir un mensaje de un contacto no agendado, y más
aún si dice ser de un banco, una oficina de gobierno, o un proveedor de servicios, y que requiere una
acción urgente por parte del usuario, se recomienda no contestar ni hacer clic en enlaces. Si tienes la
posibilidad, bloquear al remitente y luego contactar a la entidad para corroborar que el mensaje sea
legítimo. De hecho, las políticas de bancos, servicios al ciudadano y atención al cliente no permiten que
ningún operador solicite claves, contraseñas o códigos de validación.
“Este tipo de mensajes inesperados, que instan a los usuarios a actuar con urgencia, es la forma en que
se distribuyen las campañas de phishing y lo que las vuelve difíciles de detectar a timpo. El objetivo final
de los atacantes siempre es el robo de información o una estafa relacionada con la compra de productos
inexistentes a precios irrisorios, entre otros engaños posibles. Las excusas son infinitas y los mensajes
que utilizan suelen ser cada vez más convincentes o están mejor diagramados para caer en el engaño.”,
añade Gutiérrez Amaya de ESET Latinoamérica.
Desde ESET, se recomienda tener en cuenta los siguientes puntos para mantenerse protegidos:

  • Mantener actualizados los dispositivos, sistemas operativos y aplicaciones. Las actualizaciones no solo
    mejoran la experiencia, sino que también parchean vulnerabilidades encontradas.
  • Contar con una solución antimalware o antivirus instalada en los dispositivos y también mantenla
    actualizada.
  • Ser cuidadosos con el manejo de archivos que lleguen al WhatsApp, ya que los cibercriminales buscan
    nuevas formas de engañar.
  • Recordar que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de
    phishing y otros engaños están a la orden del día. Desconfiar de mensajes urgentes de personas o
    entidades que parezcan raro que se contacten. Siempre verificar con la fuente original.

ESET -Nota de Prensa

  • Nunca dar información personal o financiera a desconocidos y siempre tener en cuenta que nadie
    puede solicitar claves o códigos de validación.
    Para saber más sobre seguridad informática visite el portal corporativo de ESET:
    https://www.welivesecurity.com/es/seguridad-digital/whatsapp-vulnerabilidad-codigo-malicioso-
    imagenes/
    Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
    mundo de la seguridad informática. Para escucharlo ingrese a:
    https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Conéctate

Mantente informado

Suscríbete a nuestro boletín semanal




Notas de prensa


Recientes