Adjunto de WhatsApp infecta con troyano: el icono parecía legítimo
Una app de mensajería no distinguía entre .docx y .exe — y esto fue lo que ocurrió...
WhatsApp cerró dos vulnerabilidades en el mensajero tras informes a través del programa de recompensas de errores de Meta. Ambas fallas recibieron un nivel de gravedad medio, ya han sido corregidas y la compañía no ha encontrado indicios de explotación real. Los usuarios deben actualizar WhatsApp en todos sus dispositivos, especialmente en Windows, iOS y Android.
El nuevo boletín de seguridad de WhatsApp se publicó el 1 de mayo. En él se describen CVE-2026-23863 y CVE-2026-23866. Ambas vulnerabilidades fueron encontradas por investigadores externos a través del programa oficial de búsqueda de vulnerabilidades que WhatsApp mantiene desde hace 15 años. Un portavoz del mensajero declaró que las correcciones se publicaron rápidamente y que el equipo no ha detectado rastros de ataques en condiciones reales.
La primera vulnerabilidad, CVE-2026-23863, afectaba a WhatsApp para Windows hasta la versión 2.3000.1032164386.258709. El fallo permitía suplantar el tipo de adjunto: un atacante podía preparar un documento con bytes NUL en el nombre de archivo. El byte NUL — un carácter nulo especial — a veces interfiere con el análisis correcto de cadenas y nombres de archivo.
Debido al fallo, WhatsApp podía mostrar un adjunto como un archivo de un tipo, aunque al abrirse se ejecutara un archivo ejecutable. Para el usuario el escenario era especialmente peligroso: la interfaz mostraba un documento, pero el sistema podía ejecutar un programa. WhatsApp informó que solucionó este problema ya en 2026.
La segunda vulnerabilidad, CVE-2026-23866, afectaba a WhatsApp para iOS en las versiones 2.25.8.0-2.26.7.22 y a WhatsApp para Android en las versiones 2.25.8.0-2.26.7.10. La corrección se publicó en abril. El fallo residía en la validación de mensajes de respuesta enriquecida por IA para Instagram Reels dentro de WhatsApp. En términos sencillos, el mensajero no verificaba con suficiente rigor los mensajes ampliados relacionados con contenido multimedia de Reels.
Bajo ciertas condiciones, un usuario podía obligar al dispositivo de otra persona a procesar un archivo multimedia desde una URL arbitraria. En la descripción también se mencionan los manejadores del sistema para esquemas de URL personalizados. Estos son mecanismos del sistema operativo que abren enlaces especiales en aplicaciones concretas o inician una acción determinada. Por eso el riesgo no solo afectaba la descarga de medios, sino también la reacción del dispositivo ante un enlace especialmente diseñado.
WhatsApp subraya que ambas vulnerabilidades se detectaron antes de un uso masivo por parte de atacantes. Actualmente hay suficientes amenazas reales contra mensajeros: desde ataques por SMS, que pueden inflar rápidamente la factura por mensajes, hasta cadenas de phishing y software espía dirigidos a usuarios de iOS. En ese contexto, el boletín resulta menos alarmante que otras noticias preocupantes: los investigadores informaron del fallo, la empresa lanzó el parche y no se han encontrado trazas de explotación.
Los usuarios deberían comprobar las actualizaciones de WhatsApp en las tiendas de aplicaciones y en la versión para Windows. Es especialmente importante no posponer la instalación de los parches para quienes reciben documentos con frecuencia o abren medios desde fuentes externas. Las correcciones ya están disponibles, por lo que el nivel de protección depende de la versión de la aplicación en cada dispositivo