La falla fue registrada como CVE-2025-30401, y fue descubierta por un investigador independiente dentro del programa de Bug Bounty de Meta. No hay pruebas de estafa por su rápido hallazgo que permitió su corrección antes de que pudiera usarse de forma maliciosa. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la misma en Windows.
Alerta WhatsApp: vulnerabilidad permitía la ejecución de un código malicioso disfrazado de imágenes
ESET Latinoamérica advirtió sobre un fallo en la aplicación para Windows, que estaba siendo aprovechado por ciberdelincuentes.
Información General17 de abril de 2025
Circuló una nueva estafa que afectó a los usuarios de WhatsApp en computadoras. Desde Meta se lanzó una actualización de su aplicación para Windows con el objetivo de corregir la vulnerabilidad que habilitaba a cibercriminales la ejecución de un código malicioso oculto en mensajes que simulaban ser imágenes.
La situación pasó desapercibida por los usuarios porque descargaban y abrían el contenido en la aplicación sin preocuparse por qué podrían contener. Es importante conocer cómo funciona este ataque y aprender a evitarlo.
“La explotación de esta vulnerabilidad habilitaba a que ciberatacantes pudieran enviar archivos ejecutables camuflados como imágenes u otros archivos similares. Esto se logra modificando el tipo MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, el atacante podía enviar un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo similar. Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar malware como infostealers, spyware, entre otras amenazas.”, explicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
MIME (Multipurpose Internet Mail Extensions) permite a las aplicaciones identificar el tipo de contenido de un archivo. Por ejemplo: image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba engañar tanto a la aplicación como al usuario.
ESET, compañía líder en detección proactiva de amenazas, advierte que al recibir un mensaje de un contacto no agendado, especialmente si dice ser de un banco o una entidad gubernamental y requiere una acción urgente, es mejor no responder ni hacer clic en enlaces. Se sugiere bloquear al remitente. Es importante recalcar, que las políticas de bancos y servicios al cliente prohíben solicitar claves o contraseñas.
Cuáles son los riesgos de este ataque en WhatsApp
Este tipo de ataque, conocido como “explotación de archivos adjuntos”, es una técnica común entre los ciberdelincuentes para distribuir información del usuario en WhatsApp. Ahora, los ciberdelincuentes podrían tener la capacidad de espiar la actividad del usuario, robar contraseñas, secuestrar cuentas o incluso tomar control total del equipo afectado.
En la práctica, esto implica que un archivo que parece ser una foto inofensiva podría, al abrirse, activar software diseñado para robar información personal, instalar virus o permitir acceso a la cuenta.
Aunque el ataque no se ejecuta automáticamente y requiere que el usuario abra el archivo, el riesgo sigue siendo alto porque muchos usuarios abren archivos de contactos sin desconfianza, lo que aumenta la efectividad de este tipo de ataques.
Cómo protegerse de este ataque en WhatsApp
- Mantener actualizados los dispositivos, sistemas operativos y aplicaciones.
- Contar con una solución antivirus instalada en los dispositivos y también mantenla actualizada.
- Ser cuidadosos con el manejo de archivos que lleguen al WhatsApp, ya que los cibercriminales buscan nuevas formas de engañar.
- Recordar que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de phishing y otros engaños están a la orden del día. Hay que desconfiar de mensajes urgentes de personas o entidades. Siempre verificar con la fuente originaria.
- Nunca dar información personal o financiera a desconocidos y siempre tener en cuenta que nadie puede solicitar claves o códigos de validación.
Ámbito
Te puede interesar
Quini 6: El Siempre Sale repartió 12 millones para cada ganador y uno de ellos es entrerriano
Estación Plus Crespo
Información General24 de diciembre de 2025En el sorteo de este miércoles 24 de diciembre no se registraron ganadores en los pozos principales. Para el próximo sorteo, la Lotería de Santa Fe anunció un pozo acumulado total de $7.900 millones. Los números.
La donación de sangre en Argentina cae a niveles críticos: “La vida más longeva requerirá cada vez más donantes”
Información General22 de diciembre de 2025El descenso sostenido de voluntarios complica la atención hospitalaria y deja a miles de pacientes en situación vulnerable. Una experta detalló qué hacer para revertir el fenómeno
Quini 6 de Navidad: Seis entrerrianos ganaron más de $70 millones cada uno
Información General21 de diciembre de 2025De los 85 nuevos millonarios, media docena se corresponden a esta provincia. Todos los números.
Reto viral con ingesta de paracetamol: Facultad de Medicina Argentina encendió las alarmas
Estación Plus Crespo
Información General21 de diciembre de 2025El desafío circula entre menores, por redes sociales y pone en riesgo sus vidas. ¿En qué consiste y que produce?. La Facultad de Ciencias Médicas de Rosario lanzó una advertencia.
La medida sanitaria se impulsó por el sarampión. Ante la caída en las coberturas y el riesgo de perder el "efecto rebaño", la dosis de refuerzo de la triple viral se adelantará a los 18 meses.
Detectan en Argentina tres casos de la variante de Gripe H3N2
Información General20 de diciembre de 2025El Instituto Malbrán detectó contagios en Santa Cruz y Ciudad de Buenos Aires. Los pacientes evolucionaron sin complicaciones y por ahora, aseguran que la circulación viral se mantiene dentro de los parámetros esperados.
Más visto hoy en Estación Plus
Quini 6 de Navidad: Seis entrerrianos ganaron más de $70 millones cada uno
Información General21 de diciembre de 2025De los 85 nuevos millonarios, media docena se corresponden a esta provincia. Todos los números.
Como será el funcionamiento del municipio y recolección de residuos en las fiestas
Estación Plus Crespo
Crespo23 de diciembre de 2025Los días 24 y 31 de diciembre serán no laborables en el ámbito de la Municipalidad de Crespo. Así lo determina el Decreto establecido por el Departamento Ejecutivo Municipal, con el fin de facilitar las clásicas reuniones familiares que se realizan en dichas fechas.
Comisaría Crespo, Tránsito y GUM proyectan operativos especiales por las Fiestas
Estación Plus Crespo
Crespo23 de diciembre de 2025Las autoridades del orden público pidieron "extremar los cuidados sobre bienes y pertenencias" para prevenir ilícitos, como así también "organizar que exista un 'conductor designado', quien no beba alcohol", ya que habrá controles de alcoholemia.
También Provincia de Buenos Aires y Ciudad Autónoma de Buenos Aires, fueron escenario de un despliegue total de 20 procedimientos ordenados por la Justicia Federal. Hubo secuestros y medidas patrimoniales.
