- Un paquete npm llamado lotusbail se hacía pasar por librería legítima para WhatsApp Web y fue descargado más de 56.000 veces.
- El código malicioso permitía robar mensajes, archivos, contactos y tokens de sesión, además de vincular en secreto el dispositivo del atacante.
- Los datos exfiltrados se cifraban con RSA personalizado para evitar ser detectados por la monitorización de red.
- Desinstalar el paquete no rompe el vínculo del dispositivo atacante, por lo que es imprescindible revisar y gestionar los dispositivos vinculados en WhatsApp.
Un paquete malicioso alojado en el repositorio npm ha encendido las alarmas en el ecosistema de desarrollo y entre los usuarios de WhatsApp Web, al descubrirse que permitía a atacantes espiar conversaciones, acceder a archivos y controlar cuentas de forma silenciosa. El componente se hacía pasar por una biblioteca legítima para trabajar con la API de WhatsApp Web y acumuló decenas de miles de descargas antes de ser identificado.
Según los análisis de empresas especializadas en ciberseguridad, entre ellas Koi Security, este paquete disfrazado ofrecía todas las funciones esperadas de una herramienta para crear bots y automatizaciones en WhatsApp Web, pero incluía código oculto para robar credenciales y espiar la actividad del usuario. Su presencia durante meses en npm ilustra el creciente riesgo de ataques a la cadena de suministro de software que también afecta a desarrolladores de España y del resto de Europa.
Un paquete que se hacía pasar por biblioteca legítima de WhatsApp Web
El paquete en cuestión fue publicado en Node Package Manager (npm), el gestor de paquetes más utilizado por desarrolladores de JavaScript para integrar funcionalidades en sus proyectos. Bajo el nombre «lotusbail», se presentaba como una supuesta implementación de la API de WhatsApp Web, lo que hacía que fuera especialmente atractivo para quienes buscaban soluciones rápidas para automatizar tareas o crear bots.
En realidad, lotusbail resultó ser una bifurcación del conocido proyecto WhiskeySockets Baileys, una librería popular y legítima usada para interactuar con WhatsApp Web. Al partir de un proyecto de confianza, el paquete malicioso heredaba su estructura y funcionalidad, lo que le permitía pasar desapercibido entre los desarrolladores que ya conocían o utilizaban Baileys en sus aplicaciones.
Esta estrategia de suplantación no es nueva, pero en este caso el impacto ha sido notable: los investigadores estiman que el paquete acumuló unas 56.000 descargas durante los aproximadamente seis meses que estuvo disponible en npm. Eso implica que multitud de proyectos -incluyendo potencialmente herramientas internas y servicios usados en Europa- pudieron integrar sin saberlo el código malicioso.
La apariencia de normalidad del paquete, sumada a la confianza que suelen inspirar las bibliotecas que imitan a proyectos ya consolidados, facilitó que muchos desarrolladores lo incluyeran como dependencia sin revisar en detalle su contenido. De esta forma, el malware consiguió colarse en entornos de producción y desarrollo donde, a simple vista, todo parecía funcionar de manera legítima.
Cómo robaba mensajes, archivos y credenciales de WhatsApp Web
El verdadero peligro de lotusbail estaba en las funciones escondidas entre su código. De acuerdo con Koi Security, el paquete aprovechaba su acceso al flujo de datos de WhatsApp Web para interceptar de forma silenciosa toda la comunicación entre el cliente y los servidores del servicio de mensajería, sin alterar el funcionamiento visible para el usuario.
La pieza clave del ataque era la manipulación del cliente WebSocket legítimo que utiliza WhatsApp Web para enviar y recibir mensajes. Este componente es el encargado de recibir todos los mensajes entrantes y gestionar los salientes, por lo que cualquier código que se sitúe en medio de esa comunicación obtiene acceso directo a conversaciones, archivos y metadatos.
Con esta posición privilegiada, el paquete malicioso era capaz de capturar tokens de autenticación, claves de sesión y mensajes completos, tanto entrantes como salientes. Además, podía extraer archivos multimedia asociados a los chats, como fotografías, notas de voz, audios y vídeos, ampliando aún más el alcance de la filtración.
Los investigadores explican que el malware actuaba como una especie de «copia oculta»: la funcionalidad normal de la biblioteca seguía operando, de manera que el desarrollador obtenía el comportamiento esperado, pero al mismo tiempo el código malicioso enviaba toda la información a un segundo destino controlado por los atacantes. Para el usuario final y para el propio desarrollador, no había indicios claros de que algo raro estuviera ocurriendo.
En palabras recogidas por los analistas, el contenedor de lotusbail capturaba las credenciales en el momento de la autenticación, interceptaba los mensajes a medida que llegaban y registraba aquellos que se enviaban, manteniendo el servicio de WhatsApp Web plenamente operativo mientras se producía el espionaje en segundo plano.
Cifrado RSA personalizado para esquivar la detección
Otro de los aspectos que ha llamado la atención a los expertos es el nivel de sofisticación con el que los atacantes trataron de evadir los sistemas de monitorización de red y soluciones de seguridad desplegadas en empresas y proveedores de servicios europeos. El paquete no enviaba los datos robados en texto claro, sino que aplicaba un cifrado reforzado antes de la exfiltración.
Concretamente, los datos capturados -como tokens, mensajes y archivos multimedia- eran cifrados mediante una implementación completa y personalizada de RSA. Este tipo de cifrado asimétrico se utiliza habitualmente para proteger comunicaciones sensibles, y su uso aquí dificultaba que herramientas de análisis de tráfico pudieran inspeccionar fácilmente el contenido de los paquetes de red.
Al viajar cifrada, la información tenía menos probabilidades de activar alertas en soluciones de seguridad que buscan patrones o cadenas de texto concretas. Para muchos sistemas de defensa, el tráfico podía parecer simplemente comunicaciones cifradas legítimas, algo común en aplicaciones modernas, lo que contribuía a que el ataque pasara completamente desapercibido durante meses.
Esta táctica evidencia que no se trata de un experimento amateur, sino de una operación planificada con cierto nivel técnico, preparada para sobrevivir a entornos con controles avanzados, como los que son habituales en organizaciones y empresas tecnológicas en España y el resto de la Unión Europea.
La combinación de suplantación de una biblioteca conocida, interceptación de WebSocket y cifrado RSA ad hoc convierte a lotusbail en un ejemplo claro del riesgo que suponen las dependencias de terceros en la cadena de suministro de software, especialmente cuando se integran sin auditorías de seguridad previas.
Control invisible de la cuenta mediante dispositivos vinculados
Más allá del robo de información, el paquete malicioso incorporaba una función especialmente preocupante: la capacidad de vincular en secreto el dispositivo del atacante a la cuenta de WhatsApp de la víctima utilizando el propio sistema de emparejamiento de dispositivos de la plataforma.
WhatsApp Web y las aplicaciones de escritorio funcionan mediante un mecanismo de «dispositivos vinculados» que permite usar la cuenta en varios equipos a la vez. Lotusbail aprovechaba este proceso para automatizar el alta de un dispositivo controlado por el atacante, de forma que este pudiera leer las conversaciones y actividades de la cuenta sin necesidad de mantener el malware activo en el sistema de la víctima.
El procedimiento descrito por los investigadores consistía en generar una cadena aleatoria de ocho caracteres que se introducía en el nuevo dispositivo. El código malicioso secuestraba internamente el proceso de emparejamiento utilizando un código ya predefinido, lo que permitía completar la vinculación sin que el usuario fuera consciente de que se había añadido un equipo adicional a su cuenta.
Una vez establecido este vínculo, el atacante podía acceder de forma remota e invisible a los chats, incluso aunque el paquete npm se desinstalara posteriormente de la aplicación afectada. El control ya no dependía del código malicioso, sino del propio sistema de dispositivos vinculados de WhatsApp, lo que complicaba aún más su detección y revocación.
Para los usuarios de WhatsApp en España y Europa, este comportamiento implica que, aunque no hayan instalado directamente nada en su ordenador, pueden verse afectados si una herramienta de terceros que usan (por ejemplo, un bot o una integración empresarial) incorporó el paquete malicioso sin saberlo, quedando sus conversaciones y archivos expuestos a ojos ajenos.
Recomendaciones para usuarios y desarrolladores ante esta amenaza
El incidente de lotusbail deja varias lecciones importantes tanto para quienes desarrollan software como para usuarios de WhatsApp que utilizan la versión web o la app de escritorio en su día a día. Los expertos coinciden en que es necesario reforzar las medidas de vigilancia y buenas prácticas para reducir el impacto de este tipo de ataques.
En el caso de los usuarios, una de las primeras acciones recomendadas es acudir periódicamente a la opción «Dispositivos vinculados» en los Ajustes de WhatsApp y revisar qué equipos tienen acceso a la cuenta. Si aparece algún dispositivo desconocido, con una ubicación sospechosa o que no encaje con el uso habitual, se aconseja cerrarlo de inmediato.
Los especialistas subrayan que, incluso si una aplicación que utilizaba el paquete malicioso ha sido actualizada o desinstalada, el dispositivo del atacante puede seguir vinculado a la cuenta. Por eso, la desvinculación manual desde la propia app de WhatsApp es esencial para cortar definitivamente el acceso no autorizado.
Para desarrolladores y administradores de sistemas, el caso lotusbail refuerza la necesidad de auditar las dependencias y monitorizar su comportamiento en tiempo de ejecución. Entre las recomendaciones habituales se encuentran evitar paquetes de procedencia dudosa, revisar quién los mantiene, comprobar su historial de versiones y estar atentos a cambios repentinos en proyectos poco conocidos.
Asimismo, se aconseja implementar herramientas de análisis de seguridad específicas para la cadena de suministro de software, capaces de detectar comportamientos anómalos en librerías que aparentan ser legítimas, así como mantener inventarios actualizados de dependencias y actualizar o eliminar aquellas que no sean estrictamente necesarias.
Todo este episodio ha puesto de relieve una vez más que la seguridad de servicios ampliamente usados en Europa, como WhatsApp Web, no depende únicamente de la propia plataforma, sino también de las decisiones que toman los desarrolladores al integrar componentes externos. La presencia de un único paquete malicioso en npm ha sido suficiente para poner en riesgo miles de cuentas y demostrar lo delicado que es el equilibrio de la cadena de suministro digital.
La detección de lotusbail, después de meses de actividad y decenas de miles de descargas, muestra hasta qué punto la confianza ciega en repositorios públicos puede convertirse en un punto débil tanto para empresas como para usuarios individuales, haciendo imprescindible una vigilancia constante, revisiones periódicas de dispositivos vinculados y una cultura de seguridad más estricta en el desarrollo de aplicaciones.