Una vulnerabilidad de seguridad crítica ha sido identificada en WhatsApp para Windows, la cual podría permitir a actores maliciosos ejecutar código dañino a través de archivos adjuntos aparentemente inofensivos.
Esta vulnerabilidad de suplantación de identidad, registrada oficialmente como CVE-2025-30401, afecta a todas las versiones de WhatsApp Desktop para Windows anteriores a la 2.2450.6. Representa un riesgo significativo para los usuarios que interactúan con los archivos adjuntos recibidos a través de la plataforma.
El problema de la suplantación de identidad se origina en una deficiencia fundamental en la manera en que WhatsApp para Windows procesa los archivos adjuntos.
Según el aviso de seguridad oficial, la aplicación «mostraba los archivos adjuntos según su tipo MIME pero seleccionaba el controlador de apertura del archivo según la extensión del nombre del archivo adjunto».
Esta discrepancia creó una peligrosa laguna que los actores malintencionados podrían aprovechar.
Cuando un usuario recibe un archivo adjunto en WhatsApp, la aplicación muestra el tipo de archivo según su tipo MIME (por ejemplo, mostrándolo como una imagen), mientras que el sistema operativo decide cómo abrir el archivo según su extensión (por ejemplo, .exe).
Un atacante podría crear un archivo con una combinación engañosa de tipo MIME y extensión de nombre de archivo, lo que provocaría que los usuarios ejecutaran inadvertidamente código arbitrario al abrir manualmente lo que parecía ser un archivo adjunto inofensivo.
El vector de ataque es particularmente preocupante porque aprovecha la confianza del usuario. Un ciberdelincuente podría enviar lo que parece ser un archivo de imagen estándar dentro de WhatsApp, pero el archivo adjunto podría tener en realidad una extensión ejecutable.
Cuando el destinatario abre este archivo adjunto directamente desde WhatsApp, en lugar de ver una imagen, sin saberlo ejecutaría un código potencialmente malicioso.
«Una falta de coincidencia creada con fines malintencionados podría haber provocado que el destinatario ejecutara inadvertidamente un código arbitrario en lugar de ver el archivo adjunto al abrirlo manualmente dentro de WhatsApp», afirmó el aviso oficial de Facebook, la empresa matriz de WhatsApp.
Impacto y versiones afectadas
La vulnerabilidad afecta a todas las versiones de WhatsApp Desktop para Windows desde la versión 0.0.0 hasta la 2.2450.6.
CVE-2025-30401 está clasificado como de alta gravedad debido a la posibilidad de ejecución remota de código, lo que podría provocar acceso no autorizado al sistema o robo de datos.
Los analistas de seguridad señalan que esta vulnerabilidad es particularmente peligrosa en escenarios de chat grupal, donde los archivos adjuntos maliciosos podrían llegar a varias víctimas simultáneamente.
Esta no es la primera vez que las plataformas de mensajería enfrentan desafíos de seguridad similares. En 2024, el investigador de seguridad Saumyajeet Das descubrió una vulnerabilidad separada en WhatsApp para Windows que permitía la ejecución de scripts Python y PHP sin previo aviso cuando se abrían.
Se recomienda encarecidamente a los usuarios de WhatsApp para Windows que actualicen sus aplicaciones inmediatamente a la versión 2.2450.6 o posterior, que soluciona la vulnerabilidad de suplantación de identidad.
