Cómo una conversación de grupo en WhatsApp puede convertirse en una puerta de entrada para hackers
Hay una configuración predeterminada que facilita enormemente el trabajo a los ciberdelincuentes. Investigadores de Google y una empresa de ciberseguridad advierten que un comportamiento automático de WhatsApp en los grupos puede aprovecharse para infiltrarse en tu teléfono. No se trata de un ataque sofisticado y exótico, sino de una función que viene activada por defecto en casi todos los móviles Android.
Casi todo el mundo tiene varios grupos de WhatsApp: uno familiar, otro con amigos, uno del trabajo y quizás alguno del barrio. Los mensajes no paran en todo el día y, a menudo, te añaden a nuevos grupos sin que tú lo hayas pedido.
Eso parece inofensivo, pero tiene un lado oscuro. Cualquier persona que tenga tu número de teléfono puede agregarte a un grupo nuevo. En ese grupo puede haber perfectos desconocidos que verán tu número, tu foto de perfil y tu estado. Eso abre la puerta al spam, al phishing y al uso indebido de tus datos personales.
El verdadero punto débil no está solo en los grupos en sí, sino en lo que WhatsApp hace automáticamente con los archivos que llegan.
Investigadores confirman que un ataque a través de un grupo recién creado es perfectamente viable
Especialistas en seguridad del equipo Project Zero de Google y de la empresa Malwarebytes analizaron cómo los delincuentes pueden usar WhatsApp para lanzar un ataque. Según sus conclusiones, el atacante solo necesita una cosa: un contacto en el teléfono de la víctima.
Con ese único número, el atacante puede crear un grupo nuevo, añadir a la persona objetivo y enviarle de inmediato un archivo multimedia malicioso. Puede tratarse de un vídeo, una foto o un audio diseñado específicamente para explotar una vulnerabilidad en la aplicación o en el sistema operativo.
El fallo se encontraba en una brecha de WhatsApp para Android. Combinado con una determinada configuración, ese archivo se descargaba de forma automática sin que el usuario tuviera que tocar nada en la pantalla.
El peligroso comportamiento automático: archivos que se descargan solos
El núcleo del problema está en una función que casi nadie modifica: la descarga automática de archivos multimedia en chats y grupos. En los teléfonos Android, esta opción suele estar marcada desde el momento en que instalas WhatsApp.
Según Malwarebytes, la vulnerabilidad permitía que un archivo malicioso enviado en un grupo recién creado se descargara automáticamente y actuara como herramienta de ataque.
En palabras sencillas: te añaden a un grupo, alguien envía un archivo especialmente manipulado, WhatsApp lo descarga sin tu permiso y ese archivo puede utilizarse para infectar tu dispositivo o robar tus datos.
WhatsApp dice haber corregido el fallo, pero la configuración sigue siendo clave
WhatsApp ha comunicado que ya ha lanzado una actualización para solucionar este error concreto. Sin embargo, sigue siendo muy recomendable ajustar tus configuraciones por cuenta propia. Los fallos aparecen y se corrigen, pero una app bien configurada reduce el daño si en el futuro se descubre una nueva vulnerabilidad.
Tres ajustes que deberías cambiar ahora mismo
Con unos pocos cambios en WhatsApp puedes reducir considerablemente tu exposición al riesgo en los grupos. Los pasos que se indican a continuación están pensados para usuarios de Android, aunque en su mayor parte también son aplicables en otros dispositivos.
1. Limita quién puede añadirte a un grupo
Por defecto, muchos usuarios tienen activada la opción que permite que cualquier persona los agregue a un nuevo grupo sin su consentimiento. Eso es una ventaja enorme para spammers y estafadores. Para cambiarlo:
- Abre WhatsApp y accede a Ajustes.
- Selecciona Privacidad.
- Entra en Grupos.
- Cambia la opción de Todos a Mis contactos o Mis contactos excepto…
Con esta última opción puedes excluir contactos concretos, como conocidos de poca confianza o antiguos administradores de grupos que insisten en añadirte a chats innecesarios.
2. Desactiva la descarga automática de archivos en grupos
La línea de defensa más importante: evita que los archivos lleguen a tu dispositivo sin que tú lo decidas conscientemente.
- Ve a Ajustes en WhatsApp.
- Selecciona Almacenamiento y datos (o un menú similar).
- Bajo Descarga automática de archivos encontrarás opciones para datos móviles, wifi y roaming.
- Desmarca todas las casillas de fotos, audio, vídeos y documentos, especialmente en los grupos.
Desactivar las descargas automáticas convierte cada archivo en una decisión consciente, en lugar de un riesgo silencioso.
Los archivos seguirán apareciendo en la conversación, pero solo se guardarán cuando tú decidas pulsar sobre ellos.
3. Mantén WhatsApp siempre actualizado
Las vulnerabilidades de seguridad se corrigen con regularidad mediante actualizaciones de la app. Una versión antigua de WhatsApp puede ser innecesariamente vulnerable.
- Abre la Play Store o el App Store.
- Busca WhatsApp.
- Si aparece la opción Actualizar, instala la actualización de inmediato.
- Activa las actualizaciones automáticas de aplicaciones para no tener que comprobarlo manualmente cada vez.
Por qué los grupos de WhatsApp resultan tan atractivos para los delincuentes
Los grupos de chat tienen ciertas características que los atacantes aprovechan con mucho gusto. Suelen reunir a muchas personas, la comunicación es rápida y desordenada, y la barrera para abrir archivos es muy baja. Una foto de una supuesta fiesta, un PDF "urgente" del jefe, un vídeo gracioso: la gente hace clic sin pensarlo dos veces.
Además, los grupos son ideales para recopilar números de teléfono. Un desconocido en el grupo solo tiene que abrir la lista de participantes para hacerse con una buena cantidad de contactos. Con esos datos, los estafadores pueden atacar de nuevo más tarde por SMS, llamadas o a través de otras aplicaciones de mensajería.
| Situación | Riesgo en un grupo de WhatsApp |
|---|---|
| Te añaden a un grupo un contacto desconocido | Extraños pueden ver tu número y foto de perfil |
| Alguien envía un "documento de trabajo" o "info de paquete" | Posible archivo de malware o phishing |
| Grupo con muchos participantes desconocidos | Recopilación de números para spam y estafas |
| Descarga automática de archivos activada | Archivos maliciosos llegan a tu dispositivo sin que lo notes |
Trucos habituales que se usan en los grupos de chat
Los ciberdelincuentes combinan los trucos técnicos con la presión psicológica. En los grupos de WhatsApp se pueden ver con frecuencia situaciones como las siguientes:
- Un supuesto mensaje urgente del "jefe" con un archivo adjunto que hay que abrir rápidamente.
- Un enlace a un falso sorteo que aparenta provenir de una cadena comercial conocida.
- Un archivo que se hace pasar por una etiqueta de envío o una factura.
- Un mensaje que simula que alguien compartió accidentalmente un "vídeo privado" o un "documento confidencial" para despertar la curiosidad.
Quien además tenga activadas las descargas automáticas corre un doble riesgo: el archivo llega al instante y la tentación de abrirlo es enorme.
Cómo usar WhatsApp de forma mucho más segura en el día a día
Con unos pocos hábitos sencillos puedes reducir significativamente las probabilidades de ser víctima de un abuso a través de los grupos:
- Revisa con regularidad en qué grupos estás y abandona aquellos en los que no confías o que no usas.
- Limita quién puede ver tu foto de perfil, tu estado y tu última conexión desde los ajustes de privacidad.
- Nunca abras archivos de desconocidos, aunque estén dentro de un grupo con personas de confianza.
- Si tienes dudas sobre un archivo que supuestamente viene del trabajo o de un familiar, pregunta directamente en un mensaje aparte si lo han enviado ellos.
La combinación de una app actualizada, opciones de privacidad configuradas de forma estricta y la descarga automática desactivada convierte WhatsApp en una herramienta mucho más fiable. Especialmente en los grupos, donde no siempre sabes quién está leyendo o qué archivos pueden llegar, esta configuración te aportará una tranquilidad considerable.
Mucha gente sigue viendo WhatsApp simplemente como una aplicación de chat amigable, pero en la práctica también funciona como una puerta de acceso a tu teléfono, tus fotos, tus contactos y a veces incluso a tu correo del trabajo. Quien asegure un poco mejor esa puerta con la configuración adecuada se convierte de inmediato en un objetivo mucho menos interesante para los atacantes.
