La falla fue registrada como CVE-2025-30401, y fue descubierta por un investigador independiente dentro del programa de Bug Bounty de Meta. No hay pruebas de estafa por su rápido hallazgo que permitió su corrección antes de que pudiera usarse de forma maliciosa. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la misma en Windows.
Alerta WhatsApp: vulnerabilidad permitía la ejecución de un código malicioso disfrazado de imágenes
ESET Latinoamérica advirtió sobre un fallo en la aplicación para Windows, que estaba siendo aprovechado por ciberdelincuentes.
Información General17 de abril de 2025
Circuló una nueva estafa que afectó a los usuarios de WhatsApp en computadoras. Desde Meta se lanzó una actualización de su aplicación para Windows con el objetivo de corregir la vulnerabilidad que habilitaba a cibercriminales la ejecución de un código malicioso oculto en mensajes que simulaban ser imágenes.
La situación pasó desapercibida por los usuarios porque descargaban y abrían el contenido en la aplicación sin preocuparse por qué podrían contener. Es importante conocer cómo funciona este ataque y aprender a evitarlo.
“La explotación de esta vulnerabilidad habilitaba a que ciberatacantes pudieran enviar archivos ejecutables camuflados como imágenes u otros archivos similares. Esto se logra modificando el tipo MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, el atacante podía enviar un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo similar. Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar malware como infostealers, spyware, entre otras amenazas.”, explicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
MIME (Multipurpose Internet Mail Extensions) permite a las aplicaciones identificar el tipo de contenido de un archivo. Por ejemplo: image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba engañar tanto a la aplicación como al usuario.
ESET, compañía líder en detección proactiva de amenazas, advierte que al recibir un mensaje de un contacto no agendado, especialmente si dice ser de un banco o una entidad gubernamental y requiere una acción urgente, es mejor no responder ni hacer clic en enlaces. Se sugiere bloquear al remitente. Es importante recalcar, que las políticas de bancos y servicios al cliente prohíben solicitar claves o contraseñas.
Cuáles son los riesgos de este ataque en WhatsApp
Este tipo de ataque, conocido como “explotación de archivos adjuntos”, es una técnica común entre los ciberdelincuentes para distribuir información del usuario en WhatsApp. Ahora, los ciberdelincuentes podrían tener la capacidad de espiar la actividad del usuario, robar contraseñas, secuestrar cuentas o incluso tomar control total del equipo afectado.
En la práctica, esto implica que un archivo que parece ser una foto inofensiva podría, al abrirse, activar software diseñado para robar información personal, instalar virus o permitir acceso a la cuenta.
Aunque el ataque no se ejecuta automáticamente y requiere que el usuario abra el archivo, el riesgo sigue siendo alto porque muchos usuarios abren archivos de contactos sin desconfianza, lo que aumenta la efectividad de este tipo de ataques.
Cómo protegerse de este ataque en WhatsApp
- Mantener actualizados los dispositivos, sistemas operativos y aplicaciones.
- Contar con una solución antivirus instalada en los dispositivos y también mantenla actualizada.
- Ser cuidadosos con el manejo de archivos que lleguen al WhatsApp, ya que los cibercriminales buscan nuevas formas de engañar.
- Recordar que además de vulnerabilidades explotadas por cibercriminales, también los mensajes de phishing y otros engaños están a la orden del día. Hay que desconfiar de mensajes urgentes de personas o entidades. Siempre verificar con la fuente originaria.
- Nunca dar información personal o financiera a desconocidos y siempre tener en cuenta que nadie puede solicitar claves o códigos de validación.
Ámbito
Te puede interesar
Ya se puede consultar el padrón electoral definitivo
Estación Plus Crespo
Información General16 de septiembre de 2025El padrón electoral definitivo ya se encuentra disponible para que cada ciudadano confirme su lugar de votación de cara a las elecciones legislativas del 26 de octubre de 2025. Consulta aquí el padrón electoral.
Es entrerriano el apostador que ganó hoy más de $1.000.000.000 en el Tradicional del Quini 6
Estación Plus Crespo
Información General14 de septiembre de 2025Un apostador de Entre Ríos se convirtió en millonario al acertar los seis números de la modalidad Tradicional del Quini 6, durante el sorteo realizado este domingo 14 de septiembre. Los números.
Inolvidable: Miles de drones iluminaron el Vaticano para homenajear al Papa Francisco
Información General14 de septiembre de 2025El espectáculo de luces se dio al cierre del Encuentro Mundial sobre la Fraternidad Humana, que contó con la presencia de varios artistas internacionales que se presentaron en la Plaza San Pedro.
Se viene una "cerveza saludable" con sello argentino: "Mejora al organismo"
Información General14 de septiembre de 2025El Conicet explicó el proyecto científico en marcha y blanqueó el propósito: “El objetivo es lograr una cerveza que, además de ser una bebida social, tenga beneficios para la salud, como el fortalecimiento del sistema inmunológico”.
Decomisaron más de 40 kilos de carne de jabalí que dió positivo a Triquinosis
Información General13 de septiembre de 2025SENASA dispuso la eliminación del material alimenticio en un frigorífico, luego de detectar a través de muestras de laboratorio, la presencia de larvas del parásito.
El asesino de John Lennon pidió ser liberado y reveló cuál fue la razón por la que disparó contra el legendario Beatle
Información General13 de septiembre de 2025Mark David Chapman tiene ya 70 años y hace unos días la Justicia de Nueva York le volvió a denegar la solicitud de salir de la cárcel. Está en prisión hace 44 años. En una de sus últimas comparecencias ante el Tribunal de Libertad Condicional, confesó por qué atentó contra el músico, el 8 de diciembre de 1980.
Más visto hoy en Estación Plus
Estuvo preso por estafas, volvió al ruedo y lo capturaron en Nogoyá
Estación Plus Crespo
Policiales/Judiciales13 de septiembre de 2025Cayó una empresa en el ardid y la Policía no descansó hasta dar con el sospechoso, que volvió por más víctimas. Secuestros y detención.
Marta Ander Egg pidió desalentar las visitas al Salto: “Es un predio privado y está cerrado desde 2007”
Estación Plus Crespo
Crespo15 de septiembre de 2025La propietaria del predio insistió en que se trata de una propiedad privada y advirtió sobre los riesgos de ingresar al lugar, que no cuenta con condiciones de seguridad. Este domingo debió notificar a la policía por una oferta que promocionaba una visita al lugar.
La mujer se trasladaba en una moto 110 CC cuando colisionó con un auto y cayó delante del colectivo. El siniestro fatal ocurrió en avenida Almafuerte, de Paraná
Vialidad Nacional autorizó la intervención de la Ruta Nº 12 sobre el acceso a Paraná
Entre Ríos15 de septiembre de 2025Rosario Romero confirmó este lunes que Vialidad Nacional autorizó la intervención del Acceso Este a Paraná. Será una trabajo conjunto con el Estado provincial.
