Google Project Zero revela una vulnerabilidad “Zero-Click” donde un atacante solo necesita agregarte a un grupo y enviar una imagen para comprometer tu dispositivo, sin que tú toques nada.
La configuración por defecto de WhatsApp se ha convertido en su mayor enemigo. Según un reportes y la divulgación técnica de Google Project Zero publicada hoy, 27 de enero de 2026, existe una vía de ataque crítica que abusa de la función de “auto-descarga” de archivos en los chats grupales para desplegar malware.
A diferencia de los ataques de phishing donde debes hacer clic en un enlace, este ataque es “Zero-Click” (cero interacción). Si estás en el grupo equivocado y tu configuración es la predeterminada, tu teléfono se infecta solo.
El Mecanismo: Grupos Nuevos y Archivos Envenenados
El fallo reside en cómo WhatsApp procesa los archivos multimedia (fotos, videos, GIFs) cuando llegan a un chat grupal recién creado.
- El Inicio: El atacante necesita tu número de teléfono y el de otro contacto (o un bot).
- El Grupo: Crea un nuevo grupo de WhatsApp y te añade a la fuerza (si no tienes restringida esta opción en privacidad).
- El Payload: El atacante envía un archivo multimedia especialmente manipulado. Debido a que WhatsApp, por defecto, descarga automáticamente las imágenes para mostrarlas en la galería, el archivo malicioso entra en el almacenamiento de tu dispositivo (MediaStore) instantáneamente.
- La Ejecución: El archivo está diseñado para explotar vulnerabilidades en el análisis de imágenes de Android o de la propia “sandbox” de WhatsApp. Una vez descargado, intenta “escapar” del entorno seguro de la aplicación para ejecutar código en el sistema operativo.
Cronología de una Falla
Google Project Zero reportó este problema a Meta (matriz de WhatsApp) de forma privada el 1 de septiembre de 2025. Tras pasar el plazo estándar de 90 días para su corrección y divulgación coordinada, los detalles técnicos se han hecho públicos hoy debido a la complejidad de parchar todas las variantes del ataque.
Aunque Meta ha lanzado parches para mitigar los vectores más obvios, la naturaleza del diseño (auto-descarga) sigue presentando riesgos inherentes.
¿Por qué es tan peligroso?
El ataque es sigiloso. No recibes un enlace sospechoso ni una APK para instalar. Simplemente aparece una imagen en tu chat, y el proceso de infección comienza en segundo plano mientras tu teléfono intenta generar la vista previa. Los expertos advierten que este vector es ideal para campañas de espionaje dirigido (spyware) contra periodistas, activistas y ejecutivos.
Cómo protegerte (Configuración Crítica)
No esperes a un parche de software; puedes cerrar esta puerta ahora mismo cambiando dos configuraciones en tu WhatsApp:
- Desactiva la Descarga Automática:
- Ve a Ajustes > Almacenamiento y datos.
- En el apartado “Descarga automática de archivos”, desactiva todas las casillas (Fotos, Audio, Video, Documentos) tanto para “Datos móviles” como para “Wi-Fi”.
- Esto te obliga a tocar la imagen para descargarla, rompiendo la cadena de ataque “Zero-Click”.
- Restringe quién puede añadirte a grupos:
- Ve a Ajustes > Privacidad > Grupos.
- Cambia la configuración de “Todos” a “Mis contactos” o “Mis contactos, excepto…”.
- Esto impide que atacantes desconocidos te metan en grupos maliciosos para enviarte la carga útil.
- Visibilidad de Archivos:
- En Ajustes > Chats, desactiva “Visibilidad de archivos multimedia”. Esto evita que los archivos descargados por WhatsApp se guarden automáticamente en la galería pública de tu teléfono, donde otros procesos podrían indexarlos y ejecutarlos.
