Meta alerta: actualiza WhatsApp para evitar esta vulnerabilidad de seguridad activa desde 2016

WhatsApp, a pesar del interés que despierta en los ciberdelincuentes su enorme base de usuarios, tiene un historial bastante sólido de seguridad. Los ‘riesgos’ que tiene la app provienen principalmente de los métodos que tienen los estafadores para manipular y engañar a las víctimas, pero no tanto por fallos de seguridad en la plataforma. A eso contribuye el programa de recompensas por descubrimiento de bugs o errores de Meta, Meta Bug Bounty Program, que paga a investigadores de seguridad independientes que identifiquen y reporten vulnerabilidades en sus plataformas. Ha sido a través de este programa que se ha descubierto una vulnerabilidad que afecta a los usuarios de la app para Windows, presente desde su primera versión lanzada en 2016, y ahora ha sido solucionada.

Meta ha advertido este martes a los usuarios de Windows para que actualicen la aplicación de WhatsApp a la versión más reciente y corrijan esta vulnerabilidad que permite a los atacantes ejecutar código malicioso en sus ordenadores. Meta señala que la vulnerabilidad afecta a todas las versiones de WhatsApp para Windows lanzadas en estos 9 años y que está solucionada en la última, WhatsApp 2.2450.6, motivo por el que es necesario actualizarla.

La NVD (Base de Datos Nacional de Vulnerabilidades, por sus siglas en inglés) la ha incluido este martes, registrada como CVE-2025-30401, y la describe como un problema de falsificación (spoofing, una técnica de engaño o manipulación para hacer que algo parezca lo que no es). Esta vulnerabilidad puede ser explotada por atacantes mediante el envío de archivos manipulados con tipos de archivo alterados a posibles víctimas.

Esto se hacía aprovechando el protocolo MIME (iniciales en inglés de Extensiones de Correo de Internet Multipropósito) de las comunicaciones digitales como correos electrónicos, navegadores web o aplicaciones de mensajería. Este es un estándar que indica la naturaleza y el formato de un archivo para que el sistema o la aplicación sepa cómo interpretarlo y manejarlo.

‘Un problema de falsificación en WhatsApp para Windows, en versiones anteriores a la 2.2450.6, mostraba los archivos adjuntos según su tipo MIME, pero elegía el programa para abrir el archivo según la extensión del nombre’, ha explicado WhatsApp en el aviso publicado este martes.

‘Una discrepancia manipulada intencionadamente podría haber provocado que el destinatario ejecutara inadvertidamente código arbitrario en lugar de visualizar el archivo adjunto al abrirlo manualmente dentro de WhatsApp’, añade.

Los usuarios de WhatsApp a través de la app de Windows pueden actualizarla desde la Microsoft Store.