Meta advirtió a los usuarios de Windows que actualicen la aplicación de mensajería WhatsApp a la última versión para corregir una vulnerabilidad que permite a los atacantes ejecutar código malicioso en sus dispositivos.
Descrito como un problema de suplantación de identidad y identificado como CVE-2025-30401, este fallo de seguridad puede ser explotado por atacantes enviando archivos maliciosos con tipos de archivo alterados a posibles objetivos.
Meta afirma que la vulnerabilidad afectó a todas las versiones de WhatsApp y se ha solucionado con el lanzamiento de WhatsApp 2.2450.6.
Meta afirma que un investigador externo encontró y reportó la falla mediante una solicitud de recompensas por errores de Meta. La compañía aún no ha revelado si CVE-2025-30401 fue explotada in situ.
En julio de 2024, WhatsApp abordó un problema ligeramente similar que permitía que archivos adjuntos en Python y PHP se ejecutaran sin previo aviso al abrirlos en dispositivos Windows con Python instalado.
Más recientemente, tras informes de investigadores de seguridad del Citizen Lab de la Universidad de Toronto, WhatsApp también corrigió una vulnerabilidad de seguridad de día cero sin necesidad de clics que se explotó para instalar el spyware Graphite de Paragon.
La compañía afirmó que el vector de ataque se abordó a finales del año pasado «sin necesidad de una corrección del lado del cliente» y decidió no asignar un CVE-ID tras «revisar las directrices de CVE publicadas por MITRE y sus propias políticas internas».
El 31 de enero, tras mitigar el problema de seguridad del servidor, WhatsApp alertó a aproximadamente 90 usuarios de Android de más de dos docenas de países, incluyendo periodistas y activistas italianos que fueron blanco de ataques del software espía Paragon mediante el exploit de cero clic.
En diciembre pasado, un juez federal estadounidense también dictaminó que el fabricante israelí de software espía NSO Group utilizó ataques de día cero de WhatsApp para implementar el software espía Pegasus en al menos 1400 dispositivos, violando así las leyes estadounidenses contra la piratería informática.
Documentos judiciales revelaron que NSO presuntamente implementó el software espía Pegasus en ataques de cero clic que explotaron las vulnerabilidades de WhatsApp mediante múltiples exploits de día cero. Los documentos también indicaron que los desarrolladores del fabricante de software espía realizaron ingeniería inversa del código de WhatsApp para crear herramientas que enviaban mensajes maliciosos que instalaban software espía, violando así las leyes federales y estatales.
