· Jonathan Izquierdo · Noticias seguridad ·
Alerta WhatsApp: Google descubre malware zero-click que se propaga por grupos en Android
Google Project Zero revela vulnerabilidad crítica en WhatsApp que permite instalar malware sin que toques nada. Solo con estar en un grupo, tu móvil puede quedar comprometido.
En enero de 2026, el equipo de Google Project Zero hizo pública una vulnerabilidad crítica en WhatsApp para Android que permite propagar archivos maliciosos a través de grupos sin que el usuario toque absolutamente nada. El fallo explota la función de descarga automática de medios, convirtiendo los grupos de WhatsApp en un vector de ataque silencioso que afecta potencialmente a los más de 2.000 millones de usuarios de la plataforma.
Como perito informático forense, analizo cómo funciona este ataque, qué implicaciones tiene para tu seguridad y tus datos, y qué puedes hacer ahora mismo para protegerte.
TL;DR: lo que necesitas saber en 30 segundos
| Aspecto | Detalle |
|---|---|
| Qué es | Vulnerabilidad zero-click en WhatsApp Android que permite descargar malware automáticamente en grupos |
| Quién lo descubrió | Google Project Zero (enero 2026) |
| A quién afecta | Usuarios de WhatsApp en Android con descarga automática de medios activada |
| Gravedad | Alta: no requiere interacción del usuario |
| Solución inmediata | Desactivar la descarga automática de medios (Ajustes → Almacenamiento y datos) |
| Estado del parche | Meta aplicó parche parcial (nov 2025) y parche completo (ene 2026) |
¿Qué descubrió Google Project Zero?
El equipo de seguridad de élite de Google, Project Zero, identificó un fallo crítico en cómo WhatsApp gestiona los archivos multimedia en chats grupales. Según informan Malwarebytes y Nextpit, el problema radica en la función de descarga automática de medios, que la mayoría de usuarios tiene activada por defecto.
El ataque es silencioso
No necesitas abrir ningún archivo. No necesitas hacer clic en nada. Basta con que alguien te añada a un grupo y envíe un archivo malicioso: tu móvil lo descarga automáticamente sin que te enteres.
Cómo funciona el ataque paso a paso
El atacante crea un grupo nuevo y añade al objetivo junto con al menos un contacto conocido de la víctima (para que el grupo parezca legítimo)
El atacante envía un archivo multimedia malicioso al grupo (puede ser una imagen, vídeo o documento con código malicioso incrustado)
WhatsApp descarga automáticamente el archivo al dispositivo del objetivo sin que este intervenga ni reciba ninguna alerta especial
El archivo malicioso se ejecuta o queda almacenado en el dispositivo, comprometiendo tanto la cuenta de WhatsApp como potencialmente todo el terminal
¿Por qué es tan peligroso?
Este ataque es especialmente grave por tres razones:
| Factor | Por qué importa |
|---|---|
| Zero-click | No requiere ninguna acción del usuario. A diferencia del phishing tradicional, la víctima no necesita abrir nada |
| Escalable | Un solo grupo puede comprometer a decenas de personas simultáneamente |
| Sigiloso | El archivo se descarga en segundo plano. La víctima no recibe ninguna alerta diferente a un archivo multimedia normal |
| Difícil de detectar | Los archivos maliciosos pueden disfrazarse de imágenes o documentos comunes |
Cronología: Meta no parcheó a tiempo
Uno de los aspectos más preocupantes es la respuesta de Meta. Según la política estándar de divulgación de Google Project Zero, los fabricantes tienen 90 días para corregir una vulnerabilidad antes de que se haga pública:
| Fecha | Evento |
|---|---|
| 1 septiembre 2025 | Google Project Zero reporta la vulnerabilidad a Meta |
| 11 noviembre 2025 | Meta aplica un parche parcial del lado del servidor |
| 30 noviembre 2025 | Expira el plazo de 90 días sin parche completo → Google publica la vulnerabilidad |
| 27 enero 2026 | Meta anuncia un parche “completo” distribuido via actualización de la app |
3 meses sin protección total
Entre septiembre y enero, los usuarios de WhatsApp Android estuvieron expuestos a esta vulnerabilidad. El parche parcial de noviembre solo reducía parcialmente la exposición, pero no cerraba el vector de ataque.
Cómo protegerte ahora mismo
1. Desactiva la descarga automática de medios
Esta es la medida más importante e inmediata:
Abre WhatsApp → Ajustes (tres puntos arriba a la derecha)
Ve a Almacenamiento y datos
En la sección “Descarga automática de archivos multimedia”, entra en cada opción:
- Con datos móviles: desmarca todas las casillas (fotos, audio, vídeos, documentos)
- Con Wi-Fi: desmarca todas las casillas
- En itinerancia: desmarca todas las casillas
2. Restringe quién puede añadirte a grupos
Ve a Ajustes → Privacidad → Grupos
Cambia de “Todos” a “Mis contactos” o “Mis contactos excepto…”
Esto impide que desconocidos te añadan a grupos sin tu aprobación
3. Activa el modo de privacidad avanzada
WhatsApp introdujo esta función en su actualización de seguridad de enero 2026:
Ve a Ajustes → Privacidad → Avanzada
Activa “Proteger dirección IP en llamadas”
Activa “Desactivar vista previa de enlaces” en chats con desconocidos
4. Actualiza WhatsApp a la última versión
Abre Google Play Store
Busca WhatsApp y pulsa “Actualizar”
El parche completo de Meta se distribuyó a finales de enero 2026
5. Activa la verificación en dos pasos
Si no la tienes activada, hazlo ahora:
Ajustes → Cuenta → Verificación en dos pasos
Crea un PIN de 6 dígitos
Añade un email de recuperación
Perspectiva forense: qué evidencias deja este ataque
Como perito informático forense, hay varios artefactos que se pueden analizar si sospechas que tu dispositivo ha sido comprometido a través de esta vulnerabilidad:
Artefactos forenses en Android
| Artefacto | Ubicación | Qué revela |
|---|---|---|
| Base de datos de medios | /data/data/com.whatsapp/databases/msgstore.db | Registros de archivos multimedia descargados, incluidos los maliciosos |
| Carpeta de medios | /sdcard/WhatsApp/Media/ o /storage/emulated/0/Android/media/com.whatsapp/ | Archivos descargados automáticamente, con timestamps |
| Logs de la app | /data/data/com.whatsapp/files/Logs/ | Registros de actividad que pueden mostrar descargas anómalas |
| Metadatos del grupo | msgstore.db tabla chat_list | Cuándo fuiste añadido al grupo y por quién |
| Archivos APK sospechosos | /sdcard/Download/ y directorios temporales | Archivos ejecutables descargados por el malware |
Señales de que tu dispositivo puede estar comprometido
- Apareces en grupos que no reconoces o que fueron creados recientemente
- Tu batería se agota más rápido de lo habitual
- Consumo de datos anormalmente alto
- Aplicaciones que no instalaste aparecen en tu dispositivo
- WhatsApp se cierra inesperadamente o funciona con lentitud
- Archivos desconocidos en tu carpeta de descargas o multimedia
¿Sospechas que tu móvil está comprometido?
Si crees que has sido víctima de este ataque, no borres nada. Preservar la evidencia es fundamental para una investigación forense y para una posible denuncia. Un análisis forense del dispositivo puede determinar si hubo infección, cuándo ocurrió y qué datos fueron comprometidos.
Implicaciones legales en España
Si has sido víctima de este tipo de ataque, existen varias vías legales:
Delitos aplicables
| Delito | Artículo | Pena |
|---|---|---|
| Acceso ilícito a sistemas informáticos | Art. 197 bis CP | Prisión de 6 meses a 2 años |
| Interceptación de comunicaciones | Art. 197.1 CP | Prisión de 1 a 4 años y multa |
| Daños informáticos | Art. 264 CP | Prisión de 6 meses a 3 años |
| Descubrimiento de secretos empresariales | Art. 278 CP | Prisión de 2 a 4 años (si afecta a empresa) |
Qué hacer si eres víctima
No borres nada del dispositivo. Preserva el estado actual del móvil
Desconecta el dispositivo de internet (modo avión) para evitar que el malware siga comunicándose con su servidor de control
Documenta todo: haz capturas de los grupos sospechosos, archivos descargados y cualquier comportamiento anómalo
Contacta con un perito informático forense para realizar una extracción y análisis del dispositivo antes de que se pierdan evidencias
Denuncia ante la Policía Nacional o Guardia Civil aportando el informe pericial como prueba
Notifica a la AEPD si se han comprometido datos personales (especialmente si eres empresa, tienes 72 horas según RGPD)
Contexto: un historial de vulnerabilidades en WhatsApp
Esta no es la primera vez que WhatsApp se enfrenta a fallos de seguridad graves. El historial reciente incluye:
| Fecha | Vulnerabilidad | Impacto |
|---|---|---|
| Ene 2026 | Zero-click malware en grupos (este artículo) | Descarga automática de malware en Android |
| Dic 2025 | GhostPairing | Secuestro de cuentas via device linking |
| Nov 2025 | Zero-click spyware iOS/macOS | Explotación remota sin interacción del usuario |
| May 2025 | NSO Pegasus condena 167M$ | Jurado condena a NSO por espionaje via WhatsApp |
| 2024 | Landfall spyware Samsung | Zero-day en Samsung explotado via WhatsApp |
Patrón preocupante
Meta ha recibido múltiples avisos de seguridad de Google Project Zero, académicos y empresas de ciberseguridad. La tendencia muestra que WhatsApp sigue siendo un objetivo prioritario para atacantes sofisticados, y los tiempos de respuesta de Meta para parchear vulnerabilidades críticas no siempre son los adecuados.
Las 8 nuevas funciones de seguridad de WhatsApp en 2026
En respuesta a la presión de investigadores de seguridad, Meta ha introducido nuevas protecciones en WhatsApp durante enero de 2026:
- Advanced Privacy Mode: bloquea automáticamente archivos multimedia de números desconocidos
- Silence Unknown Callers: las llamadas de números desconocidos no suenan
- Chat Lock individual: bloqueo por chat con autenticación biométrica
- Protección IP en llamadas: enruta llamadas por servidores seguros
- Reescritura en Rust: componentes críticos reescritos en Rust para prevenir vulnerabilidades de memoria
- Notificaciones de dispositivos vinculados: alertas cuando se vincula un nuevo dispositivo
- Vista previa de enlaces desactivable: evita que enlaces maliciosos se pre-carguen
- Verificación de integridad de archivos: comprobación adicional de archivos descargados
Preguntas relacionadas
¿Puede un perito informático determinar si mi WhatsApp fue comprometido por este ataque?
Sí. Un análisis forense del dispositivo Android puede examinar la base de datos msgstore.db, los logs de la aplicación y la carpeta de medios descargados para identificar archivos maliciosos descargados automáticamente, determinar la fecha exacta del compromiso y rastrear el grupo desde el que se realizó el ataque. La extracción forense preserva la cadena de custodia necesaria para presentar la evidencia en un procedimiento judicial. Más información en nuestra guía de certificación WhatsApp.
¿Este ataque afecta también a iPhone?
La vulnerabilidad específica de descarga automática en grupos afecta principalmente a Android. Los dispositivos iOS tienen un modelo de sandboxing más restrictivo que limita el impacto de archivos descargados automáticamente. Sin embargo, WhatsApp en iOS ha tenido sus propias vulnerabilidades zero-click, como el exploit de spyware documentado en noviembre de 2025. La recomendación de desactivar la descarga automática aplica a todas las plataformas.
¿Qué diferencia hay entre esta vulnerabilidad y el ataque GhostPairing?
Son ataques completamente distintos. La vulnerabilidad de Google Project Zero explota una falla técnica (descarga automática de medios) para instalar malware sin interacción del usuario. GhostPairing, en cambio, es una técnica de ingeniería social que engaña al usuario para que vincule el dispositivo del atacante a su cuenta. Ambos son peligrosos, pero el vector zero-click es técnicamente más sofisticado porque no requiere que la víctima haga absolutamente nada.
¿Puedo denunciar si me infectaron malware a través de WhatsApp?
Sí. En España, la instalación de malware en un dispositivo sin consentimiento constituye un delito tipificado en los artículos 197 bis y 264 del Código Penal. Para que la denuncia prospere, necesitas un informe pericial que documente la infección, su origen y los daños causados. El informe debe mantener la cadena de custodia digital conforme a la norma ISO 27037.
¿La actualización de WhatsApp de enero 2026 soluciona completamente el problema?
Meta afirma que el parche distribuido a finales de enero de 2026 es “completo”. Sin embargo, Google Project Zero consideró que la solución inicial de noviembre era solo parcial. Si has actualizado WhatsApp después del 27 de enero de 2026, deberías estar protegido contra este vector específico. Aun así, se recomienda mantener desactivada la descarga automática como medida preventiva general, ya que nuevas variantes de ataques similares podrían aparecer.
¿Cuánto cuesta un análisis forense si creo que mi WhatsApp está comprometido?
Una extracción forense de WhatsApp en Android con análisis de malware tiene un coste orientativo de 600-1.200 euros, dependiendo de la complejidad del caso. Incluye extracción física del dispositivo, análisis de la base de datos, identificación de archivos maliciosos y emisión de informe pericial con validez judicial. La consulta inicial es gratuita por videollamada. Consulta nuestros precios o contacta directamente para evaluar tu caso.
Conclusión
La vulnerabilidad descubierta por Google Project Zero demuestra que incluso las aplicaciones de mensajería más populares del mundo no son inmunes a fallos de seguridad críticos. Un ataque zero-click que se propaga automáticamente a través de grupos representa una amenaza seria tanto para usuarios particulares como para empresas.
Las tres acciones que debes tomar ahora:
- Desactiva la descarga automática de medios en WhatsApp (Ajustes → Almacenamiento y datos)
- Actualiza WhatsApp a la última versión disponible
- Restringe quién puede añadirte a grupos (Ajustes → Privacidad → Grupos → Mis contactos)
Si sospechas que tu dispositivo ha sido comprometido, no borres nada y contacta con un profesional para preservar las evidencias antes de que se pierdan.
¿Sospechas que tu WhatsApp ha sido comprometido?
Análisis forense de dispositivos Android e iOS. Extracción certificada de WhatsApp con cadena de custodia. Informe pericial con validez judicial.
Más informaciónFuentes y referencias:
- Malwarebytes: A WhatsApp bug lets malicious media files spread through group chats
- Nextpit: Google Warns Millions of WhatsApp Users: Disable This Feature Immediately
- Meta Engineering: Rust at Scale: An Added Layer of Security for WhatsApp
- Malwarebytes: WhatsApp rolls out new protections against advanced exploits and spyware
- Bitdefender: WhatsApp Patches Zero-Click Spyware Attack Vector on Android
- Africa Briefing: Google flags major WhatsApp security flaw
- Newspointapp: 8 Must-Use Security Tools Introduced In WhatsApp Update 2026
- CSO Online: WhatsApp accounts targeted in GhostPairing attack
Artículo actualizado: 12 de febrero de 2026
