Estas mismas vulnerabilidades también fueron descubiertas por algunos hackers que están utilizando el exploit para engañar a los usuarios y hacerlos ejecutar códigos de forma arbitraria en sus computadoras.

Todo lo que un ciberdelincuente necesita para sacar ventaja de este fallo es enviar al usuario una aparente vCard (un formato estándar para el envío de información personal también conocidas como tarjetas electrónicas) con contenido malicioso, que en este caso aparece cuando un amigo comparte con la víctima un contacto de su agenda a través de WhatsApp.

Lee también: ¿Cómo evito que me vigilen en WhatsApp?

Una vez que el destinatario lo abre, el supuesto contacto resulta ser un archivo ejecutable que compromete de manera seria la información de las computadoras. Algunas de las herramientas de ataque que se esparcen son bots, RATs, ransomware y otros malwares.

Cabe indicar que WhatsApp para Web permite a los usuarios abrir en sus computadoras cualquier tipo de archivo que se adjunte en una conversación sin importar si éste fue enviado desde una computadora o desde la aplicación móvil, lo cual incluye imágenes, archivos de audio, videos, ubicación y contactos.

En el proceso de este estudio, Kasif descubrió que interceptando manualmente y elaborando una solicitud XMPP (Extensible Messaging and Presence Protocol) a los servidores de WhatsApp era posible controlar la extensión del archivo de la tarjeta de contacto en la aplicación.

Esto significa que una vez que un usuario da clic en el archivo descargado desde la ventana de la conversación (creyendo que es el número de una persona) el código malicioso que contiene empieza a ejecutarse en el sistema operativo.

El equipo de WhatsApp ya verificó esta vulnerabilidad y ha desarrollado los primeros ajustes necesarios para evitar que este exploit pueda transferirse en su versión de escritorio poniendo atención a todos los navegadores con los que hasta ahora es compatible.