Un informe de seguridad del equipo Project Zero de Google ha puesto de manifiesto una vulnerabilidad crítica en WhatsApp para Android que puede permitir a un atacante introducir archivos maliciosos en el dispositivo de la víctima sin necesidad de interacción por parte del usuario.
Desactiva la descarga automática para mitigar el riesgo
Según el informe, el fallo reside en la forma en que WhatsApp gestiona la descarga automática de contenido multimedia dentro de chats grupales. Un atacante puede crear un grupo, añadir a la víctima y a uno de sus contactos, promover a ese contacto a administrador y enviar un archivo multimedia especialmente diseñado que se descargará automáticamente en el dispositivo de la víctima. Una vez guardado en el sistema de ficheros del dispositivo, podría dar lugar a la ejecución de código malicioso o a otros vectores de ataque si logra escapar de los mecanismos de seguridad habituales.
¿Por qué es relevante este hallazgo?
WhatsApp es una de las aplicaciones de mensajería más utilizadas del mundo, con más de 2.000 millones de usuarios activos. Su popularidad la convierte en un blanco atractivo para los ciberdelincuentes, y esta vulnerabilidad demuestra cómo funciones aparentemente benignas como la descarga automática de imágenes y vídeos pueden convertirse en vectores de explotación.
El equipo de Project Zero de Google informó la vulnerabilidad a Meta el 1 de septiembre de 2025 bajo el protocolo estándar de divulgación responsable, que concede 90 días para que el proveedor implemente una solución. Al no haberse publicado una corrección completa dentro de ese plazo, la información se ha hecho pública. Meta aplicó una mitigación parcial en el servidor el 11 de noviembre de 2025, pero una solución definitiva a nivel de aplicación aún está en desarrollo, según los informes más recientes.
Recomendaciones de seguridad
En este contexto, los investigadores recomiendan las siguientes acciones para reducir el riesgo de explotación:
- Desactivar la descarga automática de archivos multimedia en WhatsApp:
Ajustes → Almacenamiento y datos → Descarga automática de medios → seleccionar Nunca. - Activar la “Privacidad avanzada del chat”:
Esta función restringe la exportación de chats, limita el uso de mensajes para funciones de IA dentro de la app e impide la descarga automática de contenido multimedia. - Mantener WhatsApp actualizado:
Instalar las últimas versiones disponibles lo antes posible, ya que las actualizaciones suelen incluir parches y mejoras de seguridad. (Aunque en este caso aún no existe una solución completa publicada por Meta, esto sigue siendo una buena práctica general)
Implicaciones para la seguridad
Este incidente subraya cómo características orientadas a la comodidad del usuario pueden convertirse en puertas de entrada para ataques si no se gestionan adecuadamente. En un entorno de amenaza altamente dinámico, como el actual, la configuración por defecto de las aplicaciones puede no ser suficiente para proteger a todos los usuarios y se hace indispensable aplicar medidas preventivas adicionales.
Desde una perspectiva de SOC, este caso es un buen recordatorio de que no solo las vulnerabilidades de software tradicionales (RCE, inyección, etc.) importan, sino también cómo las funciones de las aplicaciones interactúan con los mecanismos del sistema operativo y pueden abrir vectores de ataque indirectos.
