WhatsApp, al igual que muchas otras aplicaciones de Android, no está exenta de problemas. Recientemente supimos que el servicio volvería a su modelo de pago, tras años siendo totalmente gratis.
La firma Malwarebytes, detrás del popular programa anti-malware de mismo nombre, ha revelado una vulnerabilidad en WhatsApp que permitía compartir software malicioso por grupos.
El problema, que habría sido parcialmente solucionado por parte de Meta, permitiría a un atacante usar estos chats grupales como 'vector' de ataque, aprovechándose de una configuración predeterminada de la aplicación.
Compartiendo malware en WhatsApp
El equipo de Project Zero, dedicado a la búsqueda y análisis de los llamados ataques zero-day, ha sido el autor de esta investigación, detallando el sistema usado por los actores de amenazas involucrados.
El modus operandi es bastante claro. El ataque tiene efecto cuando la víctima y uno de sus contactos guardados se añaden a un único grupo de WhatsApp; algo que se puede hacer con la configuración de privacidad adecuada.
Icono de grupo de WhatsApp
El atacante le da el rol de administrador al contacto de la víctima y envía un archivo malicioso en forma de imagen al grupo. De normal, un usuario no lo descargaría sin estar seguro, pero la configuración de WhatsApp hace posible su descarga.
Y es que las opciones por defecto de la app de mensajería permiten la descarga automática de archivos en grupos, lo que hace que la descarga del archivo malicioso sea más que probable, sin que el usuario lo quiera.
Es precisamente la descarga de este archivo lo que sirve de puerta de entrada al atacante infectando su teléfono. La víctima descarga la imagen sin siquiera interactuar con el grupo, dependiendo eso sí de su configuración.
El contacto de la víctima sirve para crear el grupo y así perpetrar el ataque. Es tremendamente efectivo, debido a que no es necesario ningún tipo de interacción por parte del usuario; se le añade, y este sufre el ataque.
Menciones en WhatsApp
Este escenario se da en el mejor de los casos. Es increíblemente probable que la víctima, desconocedora de la situación, descargue la imagen de forma intuitiva para verla, lo que hace todavía más viable este método.
En noviembre del 2025, Meta implementó un cambio en sus servidores para poner coto al problema, pero Google relata que solo se arregló parcialmente la situación, a la espera de una solución total.
¿Puedo protegerme?
Afortunadamente, la forma de evitar este sistema malicioso es bastante sencilla. Google recomienda desactivar la opción que descarga medios audiovisuales de forma automática.
Cuando instalamos WhatsApp, por defecto la aplicación descarga de forma automática las fotografías, vídeos y audios que envían nuestros contactos y nuestros grupos. Es un sistema para evitarnos tener que descargar cada uno de los archivos de forma individual.
Para desactivarlo, debemos abrir WhatsApp, tocar en el menú de los 3 puntos en la esquina superior derecha, y luego en 'Configuración'. Luego, debemos tocar en Almacenamiento y datos.
Capturas de pantalla de la opción de WhatsApp.
Dentro de este submenú, tendremos que buscar el apartado "Descarga automática", abajo del todo, y veremos las siguientes opciones: "Descargar con datos móviles", "descargar con wifi" y "En itinerancia de datos".
Las opciones regulan qué se descarga de forma automática con qué conexiones. En wifi y en datos móviles desactivamos todas las casillas para evitar que se descarguen los archivos de forma automática.
Junto a estas opciones tenemos que desactivar otra también harto importante. En los ajustes, iremos a 'Chats' y desactivaremos 'Visibilidad de archivos multimedia', que muestra los archivos nuevos descargados en la galería del móvil.
Desactivándolo, evitaremos que estas imágenes se filtren al almacenamiento compartido de WhatsApp con el sistema, en el que otras aplicaciones y componentes del teléfono ven el archivo malicioso.
Capturas de pantalla de las opciones.
Si queremos todavía más protección, nos quedará un último ajuste. En Configuración, pasaremos al apartado de Privacidad y luego en Grupos. Esta opción nos permite escoger quién nos puede añadir a un grupo sin permiso.
Lo idóneo es escoger la opción "Mis contactos, excepto..." para prohibir que contactos específicos nos puedan añadir. Este sistema es perfecto en caso de tener algún contacto que otro del que no nos fiemos mucho.