WhatsApp ha corregido recientemente dos fallos de seguridad relevantes que afectaban a sus aplicaciones móviles y de escritorio. Aunque Meta asegura que no existen indicios de que estos fallos hayan sido explotados de forma activa, ambos casos vuelven a poner sobre la mesa una realidad cada vez más evidente: las aplicaciones de mensajería se han convertido en una superficie de ataque prioritaria para los ciberdelincuentes. Los fallos, recogidos en el último aviso de seguridad de Meta, afectan a distintas versiones de WhatsApp para iOS, Android y Windows. El primero de ellos permitía que un atacante remoto forzara la apertura de enlaces arbitrarios aprovechando una debilidad en el tratamiento de mensajes relacionados con Instagram Reels. El segundo, dirigido a usuarios de WhatsApp para Windows, hacía posible disfrazar archivos peligrosos para que aparentaran ser documentos inofensivos.
Aunque se trata de vulnerabilidades distintas, ambas comparten un mismo elemento de fondo: el abuso de la confianza del usuario. En un caso, mediante contenido multimedia aparentemente legítimo; en el otro, mediante archivos adjuntos manipulados para ocultar su verdadera naturaleza.
Un fallo vinculado a Instagram Reels
La vulnerabilidad más llamativa ha sido identificada como CVE-2026-23866. Según la información divulgada, el problema se encontraba en la forma en que WhatsApp procesaba determinados mensajes enriquecidos vinculados a Instagram Reels.
El fallo estaba relacionado con una validación incompleta de ciertos elementos del mensaje. En la práctica, cuando el usuario recibía este tipo de contenido, la aplicación no comprobaba correctamente las rutas del contenido multimedia antes de cargarlo. Esa falta de verificación abría la puerta a que un atacante pudiera obligar a WhatsApp a procesar contenido desde una URL arbitraria, potencialmente maliciosa.
El riesgo no era menor. A través de esta técnica, un atacante podía activar manejadores de URL controlados por el sistema operativo. Es decir, podía provocar que el dispositivo intentara abrir aplicaciones externas o ejecutar determinadas acciones no autorizadas a partir de un enlace especialmente diseñado.
Este tipo de vulnerabilidad resulta especialmente delicado porque no depende necesariamente de que el usuario descargue un archivo sospechoso o instale una aplicación desconocida. El vector de entrada es un mensaje recibido dentro de una plataforma de uso cotidiano, lo que aumenta las probabilidades de que la víctima baje la guardia.
De acuerdo con el aviso de Meta, el fallo afectaba a WhatsApp para iOS en versiones desde la v2.25.8.0 hasta la v2.26.15.72 y a WhatsApp para Android desde la v2.25.8.0 hasta la v2.26.7.10.
Meta ha señalado que la vulnerabilidad fue descubierta por su equipo interno de seguridad junto con un investigador externo a través del programa Meta Bug Bounty. Este detalle es importante, ya que indica que el fallo fue comunicado de forma responsable antes de que pudiera ser utilizado de manera masiva por actores maliciosos.
Archivos peligrosos camuflados en WhatsApp para Windows
La segunda vulnerabilidad, registrada como CVE-2026-23863, afectaba a WhatsApp para Windows y permitía manipular la forma en que la aplicación mostraba determinados archivos adjuntos.
En este caso, el ataque se basaba en una técnica clásica: el uso de bytes NUL incrustados en los nombres de archivo. Aunque pueda parecer un detalle técnico menor, este tipo de manipulación puede tener consecuencias graves. Un atacante podía crear un archivo malicioso cuyo nombre hiciera creer al usuario que se trataba de un documento inocente, como un PDF o un archivo de texto.
La clave está en que el byte NUL puede actuar como carácter de terminación. Esto puede provocar que una parte del sistema ignore la extensión real del archivo y muestre únicamente una apariencia segura. Así, la interfaz podía presentar al usuario un archivo con aspecto inofensivo, mientras que el sistema operativo acababa ejecutándolo como un programa.
El resultado es un escenario especialmente peligroso: la víctima cree estar abriendo un documento normal, pero en realidad puede estar ejecutando malware, ransomware o cualquier otro código malicioso preparado por el atacante.
La vulnerabilidad afectaba a compilaciones de WhatsApp para Windows anteriores a la versión v2.3000.1032164386.258709. Por tanto, cualquier usuario que utilice la aplicación de escritorio debería comprobar cuanto antes que cuenta con una versión posterior o plenamente actualizada.
