WhatsApp lanza una importante actualización para su app de Windows. Esta nueva versión corrige una vulnerabilidad de seguridad que “habilitaba la ejecución de código malicioso oculto en mensajes que simulaban ser imágenes”, reporta welivesecurity, el blog de seguridad de eset.
La vulnerabilidad de seguridad, explica welivesecurity, fue registrada como CVE-2025-30401. Esta permitía que ciberatacantes pudieran enviar archivos ejecutables .exe camuflados como imágenes u otros archivos similares, como PDFs. Es decir, los atacantes podían enviar mensajes a las víctimas haciendo creer que recibían imágenes, pero al hacer clic, el archivo se ejecutaba como código malicioso que podría ser spyware, instalar malware para robar información, entre otras cosas.
La vulnerabilidad fue descubierta por un investigador independiente dentro del programa Bug Bounty de Meta que recompensa a desarrolladores por encontrar fallas en las apps de la compañía. Sin embargo, ya ha sido corregida.
La actualización de WhatsApp para Windows que corrige la vulnerabilidad de seguridad ya está en despliegue para todos los usuarios. Para asegurarse que están protegidos, los usuarios deben verificar que tienen la versión 2.2450.6, o superior, de WhatsApp para Windows. Para verificarlo, deben abrir el menú “Configuraciones” (el engrane en la barra lateral izquierda), y luego en la sección “Ayuda” verán la versión de su app.
Al asegurarse que tienen la versión más reciente de WhatsApp para Windows, los usuarios estarán protegidos de esta vulnerabilidad que podía esconder archivos maliciosos como imágenes u otros archivos. No es la primera vez que WhatsApp corrige grandes vulnerabilidades de seguridad. welivesecurity menciona que en julio de 2024 también se corrigió un problema similar que permitía la ejecución de ciertos tipos de archivos sin el consentimiento de los usuarios.
En este aspecto, welivesecurity emite algunas recomendaciones generales ante posibles ataques o vulnerabilidades. La principal es siempre estar muy atento a los mensajes que se reciben de contactos no agregados, más cuando dicen ser entidades como bancos, y no responder ni hacer click en enlaces de dudosa procedencia. La estrategia de enviar mensajes inesperados que piden con urgencia realizar alguna acción, como entrar a una página y colocar datos de acceso o inicio de sesión, es la más común para vulnerar cuentas y datos.
Si es posible, bloquear al remitente y luego contactar con la entidad que decía ser para confirmar la legitimidad del mensaje, aunque es importante notar que las políticas de bancos, servicio y atención al cliente, entre otros, no permiten que ningún operador pida claves, contraseñas o códigos de validación.
Deja una respuesta