WhatsApp: Falla crítica de seguridad permitió ataques de espionaje

Una peligrosa vulnerabilidad de día cero en WhatsApp se aprovechó para realizar sofisticados ataques de espionaje. Esta falla de seguridad permitió a los atacantes comprometer dispositivos Apple sin interacción del usuario, lo que se conoce como "ataque de clic cero".

Meta ha cerrado la vulnerabilidad CVE-2025-55177 y ha notificado a menos de 200 usuarios potencialmente afectados. La agencia estadounidense de ciberseguridad CISA clasifica la amenaza como tan grave que las agencias federales estadounidenses ya deben proteger sus sistemas.

Cadena de ataques pérfidos sin intervención del usuario

El ataque combinó hábilmente dos vulnerabilidades en un exploit particularmente peligroso. La falla de WhatsApp afectaba la "autorización incompleta de los mensajes de sincronización del dispositivo vinculado". Esto permitía a los atacantes enviar mensajes especialmente diseñados que provocaban que el dispositivo objetivo procesara contenido de URL arbitrarias.

Para comprometer completamente el dispositivo, los ciberdelincuentes también explotaron una vulnerabilidad de Apple (CVE-2025-43300) en el framework ImageIO. Esta segunda vulnerabilidad permitía que imágenes o mensajes manipulados causaran corrupción de memoria y, en última instancia, ejecutaran código arbitrario.

Lo insidioso es que todo el ataque fue totalmente automatizado, sin que la víctima tuviera que hacer clic o abrir nada.

Meta reacciona con medidas drásticas

El propio equipo de seguridad de WhatsApp descubrió la vulnerabilidad y su explotación. La compañía lanzó parches para todas las versiones afectadas, incluidas WhatsApp para iOS 2.25.21.73 y WhatsApp Business para iOS 2.25.21.78, a finales de julio y en agosto de 2025.

La recomendación para los usuarios afectados fue drástica: Meta recomendó restablecer completamente los dispositivos a la configuración de fábrica para garantizar la eliminación completa de todo el spyware. Esta medida radical ilustra la profundidad con la que los atacantes lograron penetrar los sistemas.

Las autoridades hacen sonar la alarma

La agencia estadounidense de ciberseguridad CISA añadió la vulnerabilidad a su lista de amenazas explotadas activamente el 2 de septiembre. Una directiva vinculante exige que todas las agencias federales civiles aseguren sus sistemas antes del 23 de septiembre.

Otros países también reaccionaron: CERT-In de India advirtió urgentemente a todos los usuarios sobre los peligros y exigió actualizaciones inmediatas de todas las aplicaciones.

Objetivo: Activistas y periodistas

Los ataques recuerdan mucho al infame software espía Pegasus, que anteriormente utilizaba WhatsApp para ataques sin necesidad de hacer clic. Según Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional, los ataques actuales se dirigen contra periodistas, activistas de derechos humanos y representantes de la sociedad civil.

Estas campañas dirigidas demuestran lo valiosas que se han vuelto las plataformas de comunicación segura como WhatsApp como puerta de entrada para las agencias de inteligencia y los mercenarios cibernéticos.

Anuncio: Tras los recientes ataques sin clic en WhatsApp, muchos están considerando alternativas con mayor privacidad. El informe gratuito en PDF "Kit de inicio de Telegram" te muestra paso a paso cómo cambiar a Telegram de forma segura en tan solo unos minutos, incluyendo cómo ocultar tu número, chats secretos/encriptados y las configuraciones de seguridad más importantes. Así, podrás chatear sin intrusos en tu smartphone, tablet o PC. Consigue la guía gratuita de Telegram ahora.

Juego interminable del gato y el ratón

Para los más de tres mil millones de usuarios de WhatsApp en todo el mundo, este incidente subraya la importancia de contar con medidas de seguridad consistentes. Los expertos en seguridad enfatizan que la protección más efectiva son las actualizaciones automáticas tanto de las aplicaciones como del sistema operativo.

Si bien Meta y Apple han neutralizado con éxito esta cadena de ataques, la industria del espionaje ya busca nuevas vulnerabilidades. La carrera armamentística entre las empresas tecnológicas y los actores de amenazas sofisticados continúa: el próximo ataque de día cero es solo cuestión de tiempo.