WhatsApp anunció la corrección de una vulnerabilidad crítica en sus aplicaciones para iOS y macOS, la cual podría haber sido explotada en combinación con un fallo recientemente divulgado por Apple. El ataque permitía comprometer dispositivos sin necesidad de interacción por parte del usuario (zero-click).
La falla, identificada como CVE-2025-55177 (con una puntuación CVSS de 8.0 según CISA-ADP), estaba relacionada con una autorización insuficiente en los mensajes de sincronización de dispositivos vinculados. De haberse explotado, un atacante podía forzar el procesamiento de contenido desde una URL arbitraria en el dispositivo objetivo.
Versiones afectadas y parches
- WhatsApp para iOS: versiones anteriores a 2.25.21.73 (parcheado el 28 de julio de 2025).
- WhatsApp Business para iOS: versión 2.25.21.78 (parcheado el 4 de agosto de 2025).
- WhatsApp para macOS: versión 2.25.21.78 (parcheado el 4 de agosto de 2025).
WhatsApp señaló que este fallo pudo haberse encadenado con CVE-2025-43300, una vulnerabilidad en el framework ImageIO de Apple que provoca corrupción de memoria al procesar imágenes maliciosas. Apple confirmó que esta debilidad fue utilizada en ataques altamente sofisticados dirigidos a individuos específicos.
Posible uso en campañas de espionaje
De acuerdo con investigadores, algunos usuarios fueron notificados por WhatsApp sobre intentos de explotación en los últimos 90 días, posiblemente vinculados a campañas avanzadas de spyware contra periodistas y defensores de derechos humanos. Como medida preventiva, WhatsApp recomendó realizar un restablecimiento de fábrica en los dispositivos afectados y mantener tanto el sistema operativo como la aplicación actualizados.
Riesgo empresarial
Este tipo de vulnerabilidades subraya la creciente amenaza que representan los ataques zero-click para las organizaciones. A diferencia de otras técnicas, no requieren que el usuario abra enlaces o archivos, lo que reduce significativamente las oportunidades de detección. Por ello, resulta esencial:
- Mantener aplicaciones y sistemas operativos en sus últimas versiones.
- Implementar monitoreo avanzado de seguridad móvil.
- Capacitar a empleados y directivos sobre riesgos asociados al uso de aplicaciones de mensajería en entornos corporativos.
Los ataques de espionaje digital, impulsados por proveedores de software espía, continúan siendo una amenaza activa para el sector empresarial y gubernamental en todo el mundo.
