Google Project Zero ha detectado y revelado una vulnerabilidad en WhatsApp para Android que podría permitir a ciberdelincuentes infectar remotamente el dispositivo de un usuario sin su conocimiento, según informa Neowin. El problema surge cuando un atacante crea un nuevo grupo de WhatsApp, añade a la víctima y a uno de sus contactos, y luego otorga a este último permisos de administrador. Esto permite el envío de un archivo multimedia malicioso que se descarga automáticamente en el dispositivo de la víctima.
El mecanismo se basa en la descarga automática de medios en la aplicación y su almacenamiento en la base de datos MediaStore. Si el archivo infectado tuviera las capacidades adecuadas, podría aprovechar la vulnerabilidad para llevar a cabo un ataque sin necesidad de interacción por parte del usuario. Sin embargo, los atacantes necesitarían obtener o adivinar los números de teléfono de los usuarios objetivo.
Según Google Project Zero, el riesgo aumenta si la función de descarga automática de medios está activa y no se han configurado opciones avanzadas de privacidad en los chats de WhatsApp. Los expertos recomiendan a los usuarios de Android que activen la protección avanzada en los grupos y desactiven la descarga automática de archivos, lo que proporciona una capa adicional de seguridad.
Meta fue informada de la vulnerabilidad el 1 de septiembre de 2025 y disponía de los 90 días estándar para corregirla. Dado que no se lanzó una solución completa antes del 30 de noviembre de 2025, Project Zero hizo públicos los detalles del problema. El 4 de diciembre, un miembro del equipo de Google confirmó que Meta había implementado solo una solución parcial en el lado del servidor, mientras que la corrección completa aún está en desarrollo.
La vulnerabilidad afecta únicamente a WhatsApp en Android; según Project Zero, otros sistemas no presentan esta amenaza. Los usuarios de Android pueden encontrar la función de protección avanzada del chat en las opciones del grupo, bajo el icono de los tres puntos, y pueden desactivar la descarga automática en la configuración de “Almacenamiento y datos”. Para mayor seguridad, se recomienda aplicar ambas medidas simultáneamente.
Cabe destacar que este no es el primer caso de vulnerabilidades relacionadas con el manejo de archivos adjuntos que se han revelado en WhatsApp. La información proporcionada por Google Project Zero y Meta subraya que las aplicaciones de mensajería siguen siendo un objetivo atractivo para los ciberdelincuentes, y que los usuarios deben extremar las precauciones.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
