Una alerta de seguridad emitida por la compañía Sophos puso en evidencia el riesgo de una nueva amenaza dirigida a los usuarios de WhatsApp Web en México y Brasil.
Este ciberataque, activo desde finales de septiembre de 2025, se caracteriza por combinar un troyano bancario con la capacidad de un gusano, infectando computadoras y robando credenciales de acceso a plataformas financieras y de criptomonedas.
La eficacia de esta campaña radica en su método de propagación: el malware aprovecha la confianza entre contactos para engañar a las víctimas.
Qué es el «gusano» de WhatsApp Web y a quién ataca
En el contexto de la ciberseguridad, un gusano es un tipo de malware diseñado para replicarse y propagarse de forma autónoma a través de una red o sistema, como lo hace este ataque al reenviarse automáticamente por la lista de contactos de WhatsApp.
Una vez que infecta un dispositivo, su código le permite duplicarse rápidamente sin necesidad de intervención adicional del usuario, convirtiéndolo en un vector de contagio masivo.
El engaño: un archivo que se hace pasar por un documento
La infección comienza con un mensaje que aparenta provenir de un contacto conocido en WhatsApp Web, lo que reduce de inmediato el escepticismo de la víctima.
Para incrementar la posibilidad de que el usuario abra el archivo, los atacantes usan la ingeniería social al indicar que el contenido “solo puede verse en un ordenador”, según informaron los analistas de Sophos.
Mecanismo de infección: .ZIP, .LNK y PowerShell
El archivo malicioso que se recibe es un ZIP que oculta en su interior un acceso directo de Windows con extensión .LNK, el cual está disfrazado de documento legítimo, como un presupuesto o factura.
Si haces clic en este archivo, se inician una serie de comandos de PowerShell ocultos que, de forma encubierta, descargan e instalan el verdadero troyano bancario.
El objetivo final: banca y criptomonedas
Una vez que el troyano bancario toma control del sistema, su misión es robar información sensible. Los investigadores han confirmado que el malware monitorea las credenciales y las contraseñas de acceso a bancos específicos de Brasil y plataformas de intercambio de criptomonedas.
Esto significa que el riesgo directo para ti es la pérdida total de tus activos financieros digitales.
Cómo el malware usa tu cuenta para propagarse automáticamente
La característica que convierte a este ataque en un gusano es su capacidad para automatizar la infección. Si el malware detecta que la sesión de WhatsApp Web está activa, inicia de inmediato el proceso de reenvío masivo.
El gusano aprovecha la interfaz de la aplicación de escritorio para enviar el archivo infectado a todos los contactos y grupos del usuario comprometido, según un reporte de Infobae.
Esta acción se ejecuta de manera silenciosa y rápida, lo que permite que el virus se multiplique exponencialmente en la red de contactos en cuestión de minutos.
El riesgo, por lo tanto, no es solo que te infectes, sino que tú te conviertas en el vector para infectar a tus amigos y familiares.
El kit de supervivencia digital: medidas de protección inmediata
La principal línea de defensa contra este tipo de ataque, que aprovecha la confianza entre usuarios, sigue siendo el escepticismo periodístico aplicado a tus comunicaciones diarias.
El equipo de Sophos advirtió: “Este tipo de ataques aprovecha la confianza que los usuarios tienen en sus contactos, lo que facilita una propagación rápida y silenciosa”.
Consejos de Sophos y otros expertos
Para reducir significativamente el riesgo de infección por este y otros troyanos, debes tomar las siguientes precauciones inmediatamente:
- Evita abrir enlaces o archivos sospechosos, incluso si provienen de contactos conocidos que te piden abrirlos «en tu computadora».
- Desactiva la descarga automática de archivos multimedia en las configuraciones de WhatsApp Web o de escritorio.
- Verifica la autenticidad de cualquier mensaje que te pida descargar o abrir un documento no solicitado antes de responder o reenviar.
- Actualiza la aplicación de WhatsApp y tu sistema operativo con frecuencia para asegurar que las vulnerabilidades conocidas se mitiguen.
- Utiliza un software antivirus o de seguridad de endpoint actualizado que pueda detectar comportamientos anómalos, como la ejecución de scripts de PowerShell.
- Considera la posibilidad de utilizar la verificación de dos pasos para proteger tus cuentas, incluso si no te ayuda directamente contra este malware, es una defensa contra el robo de credenciales.
La doble capa de confianza en riesgo
El ataque distribuido por WhatsApp Web representa una evolución en las amenazas a la seguridad, ya que no se basa en el engaño de un remitente desconocido, sino en la confianza social y la automatización.
Esto obliga al usuario a replantear su umbral de escepticismo, pues incluso los mensajes que provienen de contactos de primera mano deben ser cuestionados si incluyen archivos ejecutables inesperados.
La implicación final para el usuario radica en la necesidad de entender que la comodidad de las aplicaciones de mensajería en la computadora no debe ir nunca por encima de la seguridad de tus finanzas personales y, sobre todo, la de tus contactos.
