Meta corrige una vulnerabilidad de WhatsApp en Windows que permitía instalar 'malware' al abrir un archivo adjunto

La compañía ha advertido sobre un problema de suplantación de identidad en su aplicación de WhatsApp para dispositivos Windows que, identificado como CVE-2025-30401, afecta a todas las versiones de la plataforma de mensajería y permite instalar 'malware' en el dispositivo simplemente al abrir archivos adjuntos modificados por actores maliciosos.

En concreto, este fallo se basa en que WhatsApp mostraba los archivos adjuntos según su tipo MIME, es decir, como una imagen, un vídeo o un documento, sin embargo, al abrirlos la 'app' seleccionaba el controlador de apertura «según la extensión del archivo», tal y como ha explicado Meta en una notificación en sus actualizaciones de seguridad.

Por tanto, los actores maliciosos podían aprovechar para modificar el archivo adjunto y sugerir que se trata de, por ejemplo, una imagen, mientras que en realidad, cuando se abriese de forma manual, la extensión del archivo fuese un ejecutable, en el que se puede introducir 'malware' y, por tanto, infectar el dispositivo.

"Una discrepancia maliciosa podría haber provocado que el destinatario ejecutara código arbitrario sin darse cuenta en lugar de ver el archivo adjunto al abrirlo manualmente en WhatsApp", ha sentenciado la tecnológica.

Con todo ello, aunque desde Meta no han detectado evidencias de que esta práctica se haya explotado activamente, la compañía ha lanzado la versión 2.2450.6 de WhatsApp para Windows, con la que pone solución al fallo de seguridad.

Por tanto, Meta ha solicitado a los usuarios que actualicen su aplicación de mensajería instantánea para Windows a la última versión, de cara a evitar posibles consecuencias de seguridad o la ejecución de código malicioso.