Un error en WhatsApp para Windows puede ser explotado para ejecutar código malicioso por cualquier persona lo suficientemente astuta como para persuadir a un usuario a abrir un archivo adjunto manipulado. Para ser justos, no hace falta mucha astucia para lograrlo.
La falla de suplantación de identidad, identificada como CVE-2025-3040, afecta a todas las versiones de WhatsApp Desktop para Windows anteriores a la 2.2450.6 y se debe a un error en la forma en que la aplicación maneja los archivos adjuntos.
También te podría interesar: Vulnerabilidad crítica de Windows 11 CVE-2024-30085
En concreto, WhatsApp muestra los archivos adjuntos según su tipo MIME (metadatos que indican el tipo de archivo), pero cuando un usuario los abre, la aplicación los procesa según su extensión. Esto significa que algo disfrazado de imagen inofensiva con el tipo MIME correcto, pero con la extensión .exe, podría ejecutarse como un programa si el usuario hace clic en él.
Meta explica en su aviso de seguridad informática que "Una discrepancia creada con fines maliciosos podría haber provocado que el destinatario ejecutará inadvertidamente un código arbitrario en lugar de ver el archivo adjunto al abrirlo manualmente dentro de WhatsApp". Si bien WhatsApp siempre es un objetivo atractivo para los malhechores , este error en particular requiere la interacción del usuario: la víctima tiene que abrir manualmente el archivo adjunto malicioso para que se ejecute la carga útil.
Pero esto no sería tan difícil, ya que muchos usuarios tienden a hacer clic en cualquier cosa, e incluso un internauta astuto podría verse inclinado a abrir un archivo adjunto enviado, por ejemplo, por alguien que no conoce, pero que pertenece a su grupo de WhatsApp de vigilancia vecinal. Un programa ejecutado de esta manera puede encontrarse con otras defensas en su sistema.
Actualiza WhatsApp Desktop
Meta ya ha corregido esta vulnerabilidad en la versión 2.2450.6 de WhatsApp para Windows. Todos los usuarios deben asegurarse de estar usando una versión igual o posterior para evitar riesgos. La actualización está disponible desde el sitio oficial y puede aplicarse de forma automática o manual dependiendo de la configuración del sistema.
La compañía no ha especificado cuánto tiempo ha estado presente este fallo ni si existen intentos de explotación detectados en el mundo real. El aviso oficial también ha sido recogido por la Base Nacional de Datos de Vulnerabilidades (NVD), aunque aún no cuenta con una puntuación CVSS oficial asignada.
Versión recomendada mínima: WhatsApp Desktop para Windows 2.2450.6.
Plataforma afectada: WhatsApp Desktop para Windows (anteriores a 2.2450.6)
Tipo de vulnerabilidad: Suplantación de identidad mediante archivo adjunto (spoofing).
También te podría interesar: Nueva falla en Youtube permite exponer Correos electrónicos.
Referencias:
https://www.opensecurity.es/whatsap-windows-vulnerabilidad-permitia-ejecutar-archivos-exe-dis frazados-imagenes/
