Apocalipsis de WhatsApp: Fin del soporte para Android 5.0/5.1 en 2026 y eliminación silenciosa de avatares redefinen la superficie de ataque

En un movimiento que subraya la evolución del panorama de seguridad de la mensajería móvil, WhatsApp ha anunciado que dejará de brindar soporte para Android 5.0 y 5.1 (Lollipop) a partir de septiembre de 2026. Esta decisión, que amplía el corte previamente informado para Android 6+, significa que millones de dispositivos en todo el mundo perderán el acceso a actualizaciones de seguridad y nuevas funciones. Al mismo tiempo, la plataforma ha comenzado silenciosamente a eliminar su función de avatares tanto en Android como en iOS, un cambio que podría tener implicaciones de seguridad más allá de lo cosmético.

Para los profesionales de ciberseguridad, estos desarrollos son más que simples anuncios de fin de vida útil. Señalan un cambio fundamental en la forma en que las plataformas de mensajería gestionan su superficie de ataque. Los dispositivos que ejecutan Android Lollipop, lanzado por primera vez en 2014, carecen de protecciones de seguridad modernas como el arranque verificado, el almacén de claves respaldado por hardware y el cifrado de disco completo por defecto. Al cortar el soporte a estos dispositivos, WhatsApp está imponiendo efectivamente una línea base de seguridad, pero también crea una base de usuarios fragmentada que puede buscar canales de comunicación alternativos y menos seguros.

La eliminación silenciosa de la función de avatares es igualmente intrigante. Si bien los avatares pueden parecer una función trivial, su eliminación sugiere que WhatsApp está optimizando su código base para reducir posibles vulnerabilidades o que la función tenía fallas de seguridad subyacentes que no podían corregirse fácilmente. En cualquier caso, la falta de comunicación transparente sobre la eliminación plantea preguntas sobre las prácticas de divulgación de vulnerabilidades de la plataforma.

Desde una perspectiva de gestión de riesgos, las organizaciones deben inventariar cualquier dispositivo que ejecute Android 5.0 o 5.1 que se utilice para la comunicación empresarial. Estos dispositivos dejarán de ser compatibles en un plazo de 18 meses, lo que crea una ventana para que los atacantes exploten vulnerabilidades conocidas que ya no se abordarán. Además, la eliminación de avatares debería impulsar una revisión de cualquier integración de terceros o flujos de datos que puedan haber dependido de esta función.

La tendencia más amplia es clara: las plataformas de mensajería están priorizando cada vez más la seguridad sobre la compatibilidad con versiones anteriores. Esto es positivo para los usuarios de dispositivos modernos, pero crea una brecha digital en la que los usuarios heredados quedan vulnerables. Para los equipos de ciberseguridad, esto significa una planificación proactiva para la gestión del ciclo de vida de los dispositivos y una mayor conciencia de los cambios silenciosos en las funciones que podrían afectar la seguridad de los datos.