WhatsApp para Windows permite ejecución de archivos peligrosos sin advertencia
Un fallo en la versión más reciente de WhatsApp para Windows permite el envío de archivos adjuntos en formato Python y PHP que los usuarios pueden abrir y ejecutar sin recibir una advertencia sobre el riesgo potencial.
El investigador de ciberseguridad Saumyajeet Das descubrió esta vulnerabilidad mientras realizaba pruebas con el envío de archivos ejecutables a través de las conversaciones de WhatsApp. Normalmente, la plataforma alerta sobre determinados archivos ejecutables considerados peligrosos, ofreciendo la opción de descargarlos o abrirlos. En la versión para Windows, incluso bloquea la apertura de estos archivos, permitiendo solo su descarga. Este comportamiento se observa en archivos como .EXE, .COM, .SCR, .BAT, Perl, .DLL, .HTA y VBS. Sin embargo, Das encontró que algunos tipos de archivos, como .PYZ, .PYZW, .EVTX y scripts PHP, no activan la alerta de riesgo, permitiendo su apertura y ejecución sin restricciones.
WhatsApp introduce nuevas reacciones de doble toque en Android
El investigador notificó esta vulnerabilidad a Meta, la empresa matriz de WhatsApp, pero la compañía desestimó su descubrimiento, alegando que no representaba una gravedad suficiente para ser considerado dentro de su programa de recompensas. Meta explicó en un comunicado: “Hemos leído la propuesta del investigador y agradecemos su presentación. El malware puede adoptar muchas formas diferentes, incluso mediante archivos descargables destinados a engañar al usuario. Es por eso que advertimos a los usuarios que nunca hagan clic ni abran un archivo de alguien que no conocen, independientemente de cómo lo hayan recibido, ya sea por WhatsApp o cualquier otra aplicación”.
Saumyajeet Das subrayó que la seguridad de los usuarios mejoraría significativamente si Meta incorporara a su listado de archivos peligrosos los formatos .PYZ, .PYZW, .EVTX y scripts PHP.
*La creación de este contenido contó con la asistencia de inteligencia artificial. La información fue proporcionada y revisada por un periodista para asegurar su precisión. El contenido no se generó automáticamente.