Unos 2.000 millones de personas utilizan WhatsApp, de acuerdo con las cifras de Meta. Es la plataforma de comunicación más popular del mundo y, como tal, un objetivo goloso para los ciberdelincuentes. Project Zero, por otro lado, es el equipo de investigación de seguridad de Google que se dedica a encontrar vulnerabilidades graves en software muy usado, no solo de Google, y a reportarlas a los fabricantes para que las corrijan; para ello se les da un plazo de 90 días. El pasado septiembre, Project Zero informó a Meta de una vulnerabilidad en WhatsApp que la compañía de Mark Zuckerberg no corrigió, por lo que la hizo pública.. Brendon Tiszka, de Project Zero, explica cómo funciona este bug en una publicación del rastreador público de incidencias de Project Zero. Un atacante puede crear un grupo de WhatsApp al que añade a la víctima y a un contacto de esta. Después, convierte en administrador del grupo a ese contacto de la víctima y envía contenido multimedia malicioso que se descarga automáticamente en su dispositivo, sin que el usuario tenga que interactuar en absoluto, lo que abre una vía para el ataque.. Para evitarlo, Google recomienda desactivar la descarga automática de archivos multimedia en la app. Esta opción, que está habilitada de forma predeterminada, descarga las imágenes y vídeos de un chat conforme se reciben, que es de lo que se aprovecha el atacante.. En general, no es prudente tener esta opción activada en ninguna app de mensajería. WhatsApp es un entorno aislado y debería contener la amenaza, pero una vez que un archivo se añade a un almacén multimedia general, como es la base de datos MediaStore, encargada de indexar y catalogar archivos multimedia del dispositivo y a la que acceden otras apps, el riesgo se multiplica.. Otra opción que recomienda Project Zero para defenderse de esta vulnerabilidad es activar la Privacidad avanzada del chat, una opción que bloquea la exportación del chat, restringe el uso de mensajes para funciones de IA dentro del chat y también impide la descarga automática de archivos multimedia.. Cómo activar la Privacidad avanzada del chat. Entra en el chat en el que quieres habilitar Privacidad avanzada del chat.. Toca en el icono de los tres puntos y selecciona Info del grupo.. Pulsa en Privacidad avanzada del chat y después en el deslizador con el mismo nombre.. Cómo desactivar la descarga automática de archivos multimedia. Toca en el menú de los tres puntos y selecciona Ajustes.. Pulsa en Almacenamiento y datos.. En el apartado Descarga automática, selecciona Ningún archivo para las opciones Descargar con datos móviles, Descargar con wifi y En itinerancia de datos.. Tras casi cinco meses, Meta aún no ha implementado una solución completa. Según Google, este tipo de ataque se considera dirigido porque es necesario conocer o adivinar un contacto para llevarlo a cabo, ‘lo que lo hace menos grave que una evasión completa del control basado en contactos’. Pero el equipo de Project Zero avisa de que ‘es fácil intentar esto muchas veces en rápida sucesión, y probablemente es fácil adivinar contactos en ataques dirigidos’.. Project Zero informó a Meta de esta vulnerabilidad el 1 de septiembre de 2025, dando 90 días a la empresa para corregir el problema antes de hacerlo público. Tras no publicar Meta una solución en ese plazo, la vulnerabilidad se hizo pública. El 4 de diciembre, Tiszka confirmó que, aunque Meta había aplicado una corrección parcial del lado del servidor para tapar este agujero de seguridad, todavía se está trabajando en una solución completa. Desde entonces, la publicación no se ha actualizado con nuevas comunicaciones, lo que indicaría que el fallo sigue abierto, según informa Forbes.. La publicación de Tiszka solo menciona que WhatsApp para Android es vulnerable de este modo, así que otras plataformas deberían estar a salvo.
La compañía informó a Meta del fallo y lo hizo público transcurridos 90 días sin que aportara una solución. Esta llegó más tarde de forma parcial
Unos 2.000 millones de personas utilizan WhatsApp, de acuerdo con las cifras de Meta. Es la plataforma de comunicación más popular del mundo y, como tal, un objetivo goloso para los ciberdelincuentes. Project Zero, por otro lado, es el equipo de investigación de seguridad de Google que se dedica a encontrar vulnerabilidades graves en software muy usado, no solo de Google, y a reportarlas a los fabricantes para que las corrijan; para ello se les da un plazo de 90 días. El pasado septiembre, Project Zero informó a Meta de una vulnerabilidad en WhatsApp que la compañía de Mark Zuckerberg no corrigió, por lo que la hizo pública.. Brendon Tiszka, de Project Zero, explica cómo funciona este bug en una publicación del rastreador público de incidencias de Project Zero. Un atacante puede crear un grupo de WhatsApp al que añade a la víctima y a un contacto de esta. Después, convierte en administrador del grupo a ese contacto de la víctima y envía contenido multimedia malicioso que se descarga automáticamente en su dispositivo, sin que el usuario tenga que interactuar en absoluto, lo que abre una vía para el ataque.. Para evitarlo, Google recomienda desactivar la descarga automática de archivos multimedia en la app. Esta opción, que está habilitada de forma predeterminada, descarga las imágenes y vídeos de un chat conforme se reciben, que es de lo que se aprovecha el atacante.. En general, no es prudente tener esta opción activada en ninguna app de mensajería. WhatsApp es un entorno aislado y debería contener la amenaza, pero una vez que un archivo se añade a un almacén multimedia general, como es la base de datos MediaStore, encargada de indexar y catalogar archivos multimedia del dispositivo y a la que acceden otras apps, el riesgo se multiplica.. Otra opción que recomienda Project Zero para defenderse de esta vulnerabilidad es activar la Privacidad avanzada del chat, una opción que bloquea la exportación del chat, restringe el uso de mensajes para funciones de IA dentro del chat y también impide la descarga automática de archivos multimedia.. Cómo activar la Privacidad avanzada del chat. Entra en el chat en el que quieres habilitar Privacidad avanzada del chat.. Toca en el icono de los tres puntos y selecciona Info del grupo.. Pulsa en Privacidad avanzada del chat y después en el deslizador con el mismo nombre.. Cómo desactivar la descarga automática de archivos multimedia. Toca en el menú de los tres puntos y selecciona Ajustes.. Pulsa en Almacenamiento y datos.. En el apartado Descarga automática, selecciona Ningún archivo para las opciones Descargar con datos móviles, Descargar con wifi y En itinerancia de datos.. Tras casi cinco meses, Meta aún no ha implementado una solución completa. Según Google, este tipo de ataque se considera dirigido porque es necesario conocer o adivinar un contacto para llevarlo a cabo, ‘lo que lo hace menos grave que una evasión completa del control basado en contactos’. Pero el equipo de Project Zero avisa de que ‘es fácil intentar esto muchas veces en rápida sucesión, y probablemente es fácil adivinar contactos en ataques dirigidos’.. Project Zero informó a Meta de esta vulnerabilidad el 1 de septiembre de 2025, dando 90 días a la empresa para corregir el problema antes de hacerlo público. Tras no publicar Meta una solución en ese plazo, la vulnerabilidad se hizo pública. El 4 de diciembre, Tiszka confirmó que, aunque Meta había aplicado una corrección parcial del lado del servidor para tapar este agujero de seguridad, todavía se está trabajando en una solución completa. Desde entonces, la publicación no se ha actualizado con nuevas comunicaciones, lo que indicaría que el fallo sigue abierto, según informa Forbes.. La publicación de Tiszka solo menciona que WhatsApp para Android es vulnerable de este modo, así que otras plataformas deberían estar a salvo.
Noticias de Tecnología y Videojuegos en La Razón
