Un problema de seguridad en la última versión de WhatsApp para Windows permite enviar archivos adjuntos de Python y PHP. Estos archivos se ejecutan cuando el receptor los abre por primera vez, siempre y cuando tenga Python instalado en su dispositivo.
Este problema es similar al que afectó a Telegram en abril, que se solucionó posteriormente. En WhatsApp, el riesgo es que estos scripts pueden ser maliciosos, aunque requieren que Python esté instalado en el equipo del usuario. Esto limita la vulnerabilidad a entornos de desarrollo de software. Aunque WhatsApp restringe el envío de ciertos tipos de archivos, las extensiones “.pyzw” de Python y “.php” de PHP no están bloqueadas.
El experto en ciberseguridad Saumyajeet Das descubrió otra vulnerabilidad al probar diferentes tipos de archivos en WhatsApp. Es posible recibir y ejecutar un archivo instalable (“EXE”) a través de la aplicación, aunque WhatsApp bloquea su ejecución si se intenta abrir directamente desde la app. Sin embargo, los scripts de Python y PHP se ejecutan sin restricciones, como se muestra en el siguiente video.
Das presentó un informe a Meta a través de su programa de recompensas, pero lamentablemente, fue desestimado.