WhatsApp ha abordado una vulnerabilidad de seguridad crítica en sus aplicaciones de mensajería para iOS y macOS de Apple que, según la compañía, podría haber sido explotada en ataques dirigidos zero-day en el mundo real en conjunto con una falla de Apple recientemente divulgada.
La vulnerabilidad CVE-2025-55177
La vulnerabilidad, identificada como CVE-2025-55177 con una puntuación CVSS de 8.0, se relaciona con una autorización insuficiente de los mensajes de sincronización de dispositivos vinculados. Los investigadores internos del equipo de seguridad de WhatsApp han sido acreditados con el descubrimiento y reporte del error.
La compañía propiedad de Meta explicó que el problema «podría haber permitido a un usuario no relacionado activar el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima».
Versiones afectadas
La falla afecta las siguientes versiones:
- WhatsApp para iOS anterior a la versión 2.25.21.73
- WhatsApp Business para iOS versión 2.25.21.78
- WhatsApp para Mac versión 2.25.21.78
Conexión con la vulnerabilidad de Apple
WhatsApp también evaluó que esta vulnerabilidad podría haber sido encadenada con CVE-2025-43300, una falla que afecta iOS, iPadOS y macOS, como parte de un ataque sofisticado contra usuarios específicos.
CVE-2025-43300 fue divulgada por Apple la semana pasada como habiendo sido weaponizada en un «ataque extremadamente sofisticado contra individuos específicos«. Esta vulnerabilidad es un error de escritura fuera de límites en el framework ImageIO que podría resultar en corrupción de memoria al procesar una imagen maliciosa.
Campaña de spyware avanzado
Donncha Ó Cearbhaill, jefe del Security Lab de Amnesty International, reveló que WhatsApp ha notificado a un número no especificado de individuos que creen fueron objetivos de una campaña de spyware avanzado en los últimos 90 días utilizando CVE-2025-55177.
Recomendaciones de seguridad
En la alerta enviada a los individuos objetivo, WhatsApp ha recomendado:
- Realizar un restablecimiento completo de fábrica del dispositivo
- Mantener actualizado tanto el sistema operativo como la aplicación WhatsApp para una protección óptima
Actualmente no se conoce quién, o qué proveedor de spyware, está detrás de estos ataques.
Ataque «zero-click»
Ó Cearbhaill describió el par de vulnerabilidades como un ataque «zero-click», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo.
«Las indicaciones tempranas son que el ataque de WhatsApp está impactando tanto a usuarios de iPhone como de Android, incluyendo individuos de la sociedad civil», declaró Ó Cearbhaill. «El spyware gubernamental continúa representando una amenaza para periodistas y defensores de derechos humanos».
Impacto en la seguridad global
Este incidente subraya la sofisticación creciente de los ataques dirigidos contra aplicaciones de mensajería populares y la importancia crítica de mantener actualizadas las aplicaciones de seguridad. La combinación de vulnerabilidades zero-click representa una amenaza particular para periodistas, activistas y defensores de derechos humanos que son objetivos frecuentes de campañas de vigilancia estatal.
La respuesta rápida de WhatsApp con una actualización de emergencia y las notificaciones directas a usuarios potencialmente afectados demuestran la seriedad de esta amenaza de seguridad y la necesidad de vigilancia constante en el ecosistema de aplicaciones móviles.
