Circuló una nueva estafa que afectó a los usuarios de WhatsApp en computadoras. Desde Meta se lanzó una actualización de su aplicación para Windows con el objetivo de corregir la vulnerabilidad que habilitaba a cibercriminales la ejecución de un código malicioso oculto en mensajes que simulaban ser imágenes.
La situación pasó desapercibida por los usuarios porque descargaban y abrían el contenido en la aplicación sin preocuparse por qué podrían contener. Es importante conocer cómo funciona este ataque y aprender a evitarlo.
La falla fue registrada como CVE-2025-30401, y fue descubierta por un investigador independiente dentro del programa de Bug Bounty de Meta. No hay pruebas de estafa por su rápido hallazgo que permitió su corrección antes de que pudiera usarse de forma maliciosa. Para estar protegido, es necesario contar con la versión 2.2450.6 o una más reciente de la misma en Windows.
“La explotación de esta vulnerabilidad habilitaba a que ciberatacantes pudieran enviar archivos ejecutables camuflados como imágenes u otros archivos similares. Esto se logra modificando el tipo MIME, lo que altera cómo la aplicación interpreta y muestra el contenido. Así, el atacante podía enviar un mensaje a la víctima haciéndole creer que estaba recibiendo un archivo de imagen, un PDF o archivo similar. Pero al hacer clic, el archivo se ejecutaba como código malicioso que podría a la vez instalar malware como infostealers, spyware, entre otras amenazas.”, explicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
MIME (Multipurpose Internet Mail Extensions) permite a las aplicaciones identificar el tipo de contenido de un archivo. Por ejemplo: image/jpeg indica una imagen en formato JPG, o application/pdf indica un archivo PDF. Al manipular el tipo de MIME, el atacante lograba engañar tanto a la aplicación como al usuario.
ESET, compañía líder en detección proactiva de amenazas, advierte que al recibir un mensaje de un contacto no agendado, especialmente si dice ser de un banco o una entidad gubernamental y requiere una acción urgente, es mejor no responder ni hacer clic en enlaces. Se sugiere bloquear al remitente. Es importante recalcar, que las políticas de bancos y servicios al cliente prohíben solicitar claves o contraseñas.
Fuente: Ambito
