Nuevo malware en WhatsApp roba archivos y contactos a través de una falsa librería de npm

  • Un paquete malicioso de npm, camuflado como librería para WhatsApp Web, ha robado mensajes, archivos y listas de contactos.
  • El malware vincula un dispositivo del atacante a la cuenta de WhatsApp de la víctima y mantiene el acceso incluso tras eliminar el paquete.
  • La amenaza afecta sobre todo a desarrolladores que usan APIs no oficiales, pero pone en riesgo también a usuarios finales en Europa y España.
  • Revisar los dispositivos vinculados, activar la verificación en dos pasos y evitar herramientas no oficiales es clave para proteger la cuenta.
Actualidad iPhone

11 minutos

Malware en WhatsApp roba archivos y contactos

Las ganas de exprimir WhatsApp con funciones extra siguen llevando a muchos usuarios y desarrolladores a descargar herramientas fuera de los canales oficiales. El problema es que, en ese terreno gris de librerías no verificadas y apps modificadas, se están colando amenazas cada vez más sofisticadas capaces de robar mensajes, contactos y hasta documentos personales sin levantar sospechas.

El ejemplo más reciente es un malware para WhatsApp que se hace pasar por una librería legítima en el repositorio npm (Node Package Manager). Bajo una apariencia totalmente funcional, este paquete ha logrado vincular dispositivos de atacantes a cuentas de WhatsApp ajenas, copiar historiales completos de chats y extraer archivos y credenciales, afectando potencialmente a usuarios de España, Europa y del resto del mundo.

Un falso paquete para WhatsApp Web que se cuela en npm

La campaña fue identificada por investigadores de Koi Security, que detectaron un paquete publicado en npm y presentado como API o librería para automatizar WhatsApp Web. Bajo nombres como «Iotusbail» o «lotusbail», el código se camuflaba como una bifurcación del conocido proyecto WhiskeySockets Baileys, muy utilizado por desarrolladores para crear bots, integraciones y herramientas de automatización con el protocolo web de WhatsApp.

Sobre el papel, la librería parecía legítima: permitía conectarse a WhatsApp Web, enviar y recibir mensajes y gestionar sesiones de forma similar a la versión auténtica. Esa apariencia de normalidad hizo que miles de desarrolladores la integraran en sus proyectos sin sospechar que, en segundo plano, estaba interceptando todo el tráfico que pasaba por la conexión.

Según el análisis de Koi Security, el paquete malicioso envolvía el cliente WebSocket legítimo utilizado para comunicarse con los servidores de WhatsApp. De este modo, cada mensaje, archivo o dato de autenticación que circulaba por la aplicación pasaba antes por el contenedor de malware, que lo copiaba y lo enviaba cifrado a un servidor controlado por los atacantes.

La amenaza no es un caso aislado: forma parte de una tendencia creciente de ataques a la cadena de suministro de software, donde los ciberdelincuentes se infiltran en repositorios públicos aprovechando la confianza que generan proyectos con muchas descargas y nombres similares a los de herramientas populares.

Malware en WhatsApp Web roba datos y contactos

Qué datos roba el malware en WhatsApp

El comportamiento del paquete malicioso es especialmente preocupante por el volumen y la sensibilidad de la información que llega a sustraer y la posibilidad de traficar con nuestros datos privados.

  • Listas completas de contactos almacenados en la cuenta de WhatsApp.
  • Archivos multimedia compartidos en los chats: fotos, vídeos y notas de voz.
  • Documentos enviados o recibidos a través de la aplicación.
  • Tokens de autenticación y claves de sesión usados para iniciar y mantener la conexión.
  • Credenciales y datos de acceso asociados a la cuenta de WhatsApp Web.

En la práctica, esto significa que los atacantes pueden replicar la actividad de la víctima casi en tiempo real: leer conversaciones, descargar archivos, seguir nuevas vinculaciones de dispositivos e incluso preparar otros fraudes (como suplantar a contactos en entornos laborales o familiares, algo muy sensible en Europa, donde WhatsApp se utiliza de forma masiva en empresas y administraciones).

Los expertos señalan, además, que el malware incorpora mecanismos de cifrado personalizados, como el uso de RSA, para que la exfiltración de datos pase desapercibida frente a herramientas de monitorización y soluciones de seguridad tradicionales. A esto se suman funciones anti-depuración que provocan bucles infinitos cuando se detectan análisis avanzados, dificultando aún más la tarea de los investigadores. Más información sobre las últimas novedades en ciberseguridad ayuda a contextualizar estos métodos.

Otro aspecto clave es su persistencia. Aunque el desarrollador o el usuario elimine el paquete de npm del proyecto o del sistema, la cuenta de WhatsApp puede seguir comprometida. El motivo es que, durante el proceso de autenticación, la librería maliciosa vincula silenciosamente un dispositivo controlado por el atacante como si fuera un dispositivo complementario válido, tal y como permite la función multidispositivo de WhatsApp.

Cómo se vincula el dispositivo del atacante a tu cuenta

El punto más delicado del ataque está en la forma en que el paquete abusa del propio funcionamiento de WhatsApp Web. Cuando un desarrollador emplea la librería para conectar su aplicación al servicio, el malware introduce un contenedor WebSocket propio que supervisa el proceso de emparejamiento.

En ese momento, el código captura el token de autenticación, las claves de sesión y el código de emparejamiento generados para el login. Con esa información, la puerta trasera procede a vincular automáticamente un dispositivo controlado por los atacantes a la cuenta objetivo, como si fuera un ordenador, tableta o navegador adicional autorizado.

Lo preocupante es que este proceso no requiere ninguna acción extra por parte del usuario más allá de usar la API aparentemente legítima. Para el desarrollador, todo parece funcionar con normalidad. Sin embargo, en segundo plano, los atacantes ya disponen de un acceso persistente que se mantiene incluso si se borra el paquete de npm o se desinstala la herramienta que lo integraba.

Solo una revisión manual de la sección de “Dispositivos vinculados” en la app de WhatsApp permite detectar y revocar estos accesos ocultos. Hasta que se desconectan esos dispositivos sospechosos, el atacante conserva plena visibilidad sobre los mensajes y los datos asociados a la cuenta.

Impacto para desarrolladores, empresas y usuarios en Europa

Aunque el foco inicial del ataque está en la comunidad de desarrolladores que usan npm, el riesgo tiene un claro efecto dominó sobre usuarios finales y organizaciones. Muchos proyectos que integran librerías como Baileys se utilizan en entornos empresariales para gestionar atención al cliente, sistemas de notificación o automatización de respuestas vía WhatsApp.

Si un desarrollador en España o en cualquier país de la Unión Europea incorpora sin saberlo una bifurcación maliciosa como Iotusbail o lotusbail, no solo compromete su propia cuenta, sino también las de los clientes o usuarios que interactúen con esa integración. En el ámbito europeo, donde rige el Reglamento General de Protección de Datos (RGPD), este tipo de filtraciones puede derivar en incumplimientos graves de privacidad y en sanciones si no se gestionan correctamente.

Además, la dependencia de WhatsApp como canal oficial de comunicación en pymes, comercios locales e incluso administraciones públicas en España hace que cualquier ataque a esta plataforma tenga un impacto potencialmente amplio. Desde el robo de contactos de clientes hasta la sustracción de documentos compartidos (facturas, presupuestos, informes, etc.), el daño no es solo individual, sino también empresarial.

Los investigadores subrayan que el paquete malicioso estuvo disponible en npm durante alrededor de medio año, acumulando más de 56.000 descargas. Esa cifra, aunque no indica cuántas cuentas fueron finalmente comprometidas, da una idea del alcance que puede llegar a tener un ataque de este tipo cuando se infiltra en una infraestructura tan utilizada por desarrolladores a nivel mundial.

Cómo saber si tu WhatsApp está comprometido

Detectar a tiempo si alguien ha conseguido vincular un dispositivo no autorizado a tu cuenta de WhatsApp es esencial para cortar el acceso. El propio servicio ofrece una forma relativamente sencilla de comprobarlo, aunque muchos usuarios la pasan por alto.

Para revisar si hay intrusos en tu cuenta, puedes seguir estos pasos recomendados por expertos en seguridad:

  1. Abre WhatsApp en tu móvil (Android o iPhone).
  2. Accede al menú de “Ajustes” o toca el icono de los tres puntos en la esquina superior.
  3. Entra en el apartado “Dispositivos vinculados”.
  4. Comprueba uno por uno los dispositivos que aparecen en la lista y verifica que reconoces todos los accesos.
  5. Si ves algún dispositivo, sesión o ubicación que no te resulte familiar, cierra la sesión de inmediato.

Después de realizar esta comprobación, es aconsejable ir un poco más allá: cambiar la contraseña de la cuenta de Google o Apple asociada al móvil, activar la verificación en dos pasos en WhatsApp y revisar si ha habido actividad extraña en otros servicios en los que uses el mismo dispositivo.

En el caso de desarrolladores que hayan instalado o usado librerías no oficiales, conviene también auditar el código del proyecto, eliminar dependencias sospechosas y, si fuera necesario, regenerar claves de API y credenciales asociadas a integraciones con clientes o proveedores.

Por qué seguimos cayendo en malware para WhatsApp

Esta campaña deja en evidencia un patrón que se repite una y otra vez: el atractivo de las funciones extra y la personalización pesa más que la prudencia. Muchos usuarios buscan versiones modificadas de WhatsApp, bots, automatizaciones o herramientas especiales que prometen “ir un paso más allá” de la app original, sin reparar demasiado en el origen del software.

En este caso concreto, el malware no explota directamente una vulnerabilidad técnica de WhatsApp, sino una debilidad humana y de proceso: confiar en una librería de terceros sólo porque parece útil y acumula descargas. Lo mismo ocurre con las aplicaciones descargadas fuera de Google Play, App Store o las webs oficiales de los desarrolladores.

Los atacantes son conscientes de esta realidad y diseñan sus campañas para que las herramientas maliciosas sean plenamente funcionales. Es decir, hacen lo que prometen (permitir bots, automatizar mensajes, personalizar la experiencia…), pero añaden una capa oculta de código que roba datos de forma silenciosa. De este modo, el usuario no tiene motivos aparentes para desconfiar, porque la herramienta «funciona».

Este enfoque está cobrando especial relevancia en Europa y en España, donde la adopción de WhatsApp es masiva en todas las franjas de edad. La combinación de alto uso, confianza en la plataforma y poca cultura de revisión técnica en herramientas de terceros es el caldo de cultivo perfecto para este tipo de amenazas.

Buenas prácticas para evitar que el malware robe tus archivos y contactos

Reducir el riesgo no exige ser experto en ciberseguridad, pero sí adoptar una serie de hábitos básicos y constantes. A la vista de lo ocurrido con este paquete malicioso en npm, los especialistas en seguridad recomiendan tener en cuenta varias pautas.

  • Instalar apps solo desde tiendas oficiales: en móviles, utilizar Google Play Store, App Store u otras fuentes verificadas; en el caso de herramientas para desarrolladores, descargar desde repositorios oficiales del proyecto y revisar su documentación.
  • Desconfiar de funciones “extra” o no oficiales: las promesas de personalizaciones extremas, automatizaciones muy agresivas o accesos inéditos a funciones internas de WhatsApp suelen ser la puerta de entrada del malware.
  • Mantener el sistema y las apps actualizados: tanto el sistema operativo del móvil como WhatsApp y el resto de aplicaciones deben estar al día para reducir vulnerabilidades conocidas.
  • Activar la verificación en dos pasos en WhatsApp y en las cuentas asociadas (Google, Apple, correo electrónico) para complicar el acceso no autorizado aunque se filtren contraseñas o tokens.
  • Realizar copias de seguridad cifradas de los chats y archivos más sensibles, almacenándolas en servicios confiables, de forma que una posible infección no implique la pérdida total de la información.
  • Consultar fuentes fiables antes de instalar una nueva herramienta: revisar opiniones, informes de seguridad y, en el caso de Europa, recomendaciones de organismos y agencias especializadas en ciberseguridad.

Para desarrolladores, la lista se amplía con la necesidad de auditar dependencias, evitar paquetes de autores desconocidos, revisar cambios de nombre sospechosos y vigilar el comportamiento en tiempo de ejecución de las librerías que gestionan datos sensibles o credenciales de usuarios.

Lo ocurrido con este malware en WhatsApp que roba archivos, contactos y credenciales demuestra hasta qué punto una simple descarga puede abrir la puerta a una filtración masiva de información personal y profesional. Un paquete aparentemente inocuo en npm ha bastado para vincular dispositivos de atacantes, vigilar conversaciones y extraer datos de forma continua, poniendo en jaque tanto a usuarios particulares como a empresas en España y en el resto de Europa. Frente a un escenario digital cada vez más expuesto, la combinación de prudencia, actualización constante y revisión periódica de los dispositivos vinculados a la cuenta se ha convertido en la mejor defensa para mantener a salvo la privacidad en WhatsApp.

Artículo relacionado:
Así de fácil se roba una cuenta de WhatsApp

Te puede interesar:
Cómo tener dos WhatsApp en el iPhone
Síguenos en Google News