El uso de WhatsApp en entornos profesionales y personales vuelve a estar en el punto de mira tras descubrirse una campaña de malware capaz de acceder a mensajes, archivos y credenciales de los usuarios sin levantar sospechas. El origen del problema no está en un enlace fraudulento ni en un archivo adjunto, sino en una librería maliciosa distribuida a través de npm, el gestor de paquetes más utilizado en proyectos JavaScript.
Un malware camuflado como librería legítima de WhatsApp Web
Investigadores de ciberseguridad han identificado un paquete que se hacía pasar por una biblioteca válida para trabajar con WhatsApp Web API, orientada a la creación de bots y automatizaciones. En realidad, el paquete incorporaba código malicioso diseñado para interceptar toda la actividad del usuario una vez autenticado.
Este software fraudulento se apoyaba en una bifurcación de un proyecto legítimo ampliamente utilizado por desarrolladores. El problema es que, además de ofrecer las funciones prometidas, añadía mecanismos ocultos para capturar tokens de sesión, claves de autenticación y el contenido completo de las conversaciones, incluidos archivos multimedia como imágenes, audios y vídeos.
Cómo roba los mensajes sin que el usuario lo note
El funcionamiento del malware es especialmente peligroso porque no interfiere con el uso normal de WhatsApp. La aplicación sigue funcionando con aparente normalidad mientras el código malicioso actúa en segundo plano.
El paquete modifica el cliente WebSocket que se comunica con los servidores de WhatsApp. De este modo:
- Registra los mensajes recibidos antes de mostrarlos al usuario.
- Copia los mensajes enviados.
- Extrae credenciales y datos de sesión en el momento de la autenticación.
Toda la información robada se cifra antes de ser enviada al atacante, lo que dificulta su detección por sistemas de monitorización de red o soluciones de seguridad tradicionales.
Control remoto y vinculación silenciosa de dispositivos
Uno de los aspectos más graves es que el malware permite vincular un dispositivo adicional a la cuenta de WhatsApp de la víctima, utilizando el propio mecanismo de emparejamiento de la plataforma. Esto otorga al atacante acceso persistente a la cuenta, incluso después de desinstalar la librería maliciosa.
Por este motivo, eliminar el paquete no es suficiente: el acceso remoto puede mantenerse activo si no se revisan los dispositivos vinculados.
Qué hacer para proteger tu cuenta de WhatsApp
Para reducir el riesgo ante este tipo de amenazas, los expertos recomiendan:
- Revisar periódicamente los dispositivos vinculados en WhatsApp y eliminar cualquiera que no se reconozca.
- Desconfiar de librerías poco conocidas, incluso si tienen muchas descargas.
- Monitorizar el comportamiento de las aplicaciones en tiempo de ejecución, especialmente en entornos de desarrollo.
- Aplicar controles de seguridad adicionales en proyectos que interactúan con servicios de mensajería.
Este incidente demuestra que la cadena de suministro de software es uno de los vectores de ataque más críticos en la actualidad. El malware ya no necesita engañar al usuario final: basta con infiltrarse en una herramienta que miles de desarrolladores consideran segura.
uro de herramientas de inteligencia artificial.
