La falla CVE-2025-30401 ya ha sido corregida, pero usuarios que no actualicen podrían estar expuestos a ataques de suplantación mediante archivos maliciosos.
Una reciente vulnerabilidad de seguridad descubierta en WhatsApp para Windows ha encendido las alarmas sobre la posibilidad de que los usuarios ejecuten código malicioso sin saberlo. El fallo, identificado como CVE-2025-30401, afecta a todas las versiones del cliente de escritorio anteriores a la 2.2450.6, y podría haber sido explotado por atacantes para disfrazar archivos ejecutables como imágenes aparentemente inofensivas.
El problema radica en la discrepancia entre el tipo MIME —los metadatos que definen el tipo de archivo que se muestra al usuario— y la extensión real del archivo, que es la que la aplicación usa finalmente al abrirlo. Así, un archivo con tipo MIME “imagen/jpeg” pero extensión .EXE podría abrirse y ejecutarse como un programa si el usuario hace clic sobre él dentro de la aplicación de escritorio.
«Una discrepancia maliciosa podría haber provocado que el destinatario ejecutara código arbitrario sin darse cuenta en lugar de ver el archivo adjunto», explicó Meta, empresa matriz de WhatsApp, en su aviso de seguridad publicado aquí.
Riesgo moderado pero real
A diferencia de otros vectores de ataque más complejos, esta vulnerabilidad depende de la acción del usuario: requiere que la víctima abra manualmente el archivo. Sin embargo, la interfaz de WhatsApp no mostraba ninguna señal de alerta, ya que el archivo aparecía como si fuera una imagen legítima.
Esto facilita que incluso usuarios prudentes bajen la guardia. Un ejemplo podría ser un archivo enviado en un grupo comunitario, aparentemente compartido por otro vecino, que en realidad contiene código dañino.
No obstante, los investigadores subrayan que no hay evidencia de que esta vulnerabilidad haya sido explotada activamente hasta ahora.
Recomendación: actualizar de inmediato
Meta ya ha corregido esta vulnerabilidad en la versión 2.2450.6 de WhatsApp para Windows. Todos los usuarios deben asegurarse de estar usando una versión igual o posterior para evitar riesgos. La actualización está disponible desde el sitio oficial y puede aplicarse de forma automática o manual dependiendo de la configuración del sistema.
La compañía no ha especificado cuánto tiempo ha estado presente este fallo ni si existen intentos de explotación detectados en el mundo real. El aviso oficial también ha sido recogido por la Base Nacional de Datos de Vulnerabilidades (NVD), aunque aún no cuenta con una puntuación CVSS oficial asignada.
Un recordatorio de los riesgos en entornos de mensajería
Esta vulnerabilidad pone de nuevo el foco en los riesgos asociados al uso de aplicaciones de mensajería como canal para distribuir archivos. Aunque WhatsApp implementa múltiples capas de seguridad, los fallos en la gestión de archivos adjuntos pueden abrir la puerta a ataques simples pero efectivos si no se actualiza el software a tiempo.
Además, recuerda la necesidad de educar a los usuarios sobre buenas prácticas digitales, como:
- No abrir archivos de origen desconocido, aunque parezcan imágenes o documentos inofensivos.
- Confirmar la identidad del remitente en caso de duda.
- Mantener siempre actualizadas las aplicaciones de mensajería, navegadores y sistemas operativos.
El error de WhatsApp para Windows es un ejemplo más de cómo una combinación de ingeniería social y errores de validación de software puede convertirse en una amenaza potencial para millones de usuarios. La rápida corrección por parte de Meta es positiva, pero también evidencia la necesidad de vigilancia constante en el desarrollo y uso de aplicaciones críticas como los clientes de mensajería.
Versión recomendada mínima: WhatsApp Desktop para Windows 2.2450.6.
Plataforma afectada: WhatsApp Desktop para Windows (anteriores a 2.2450.6)
Tipo de vulnerabilidad: Suplantación de identidad mediante archivo adjunto (spoofing).
