WhatsApp 0-Day explotado en ataques a usuarios específicos de iOS y macOS
WhatsApp ha corregido una vulnerabilidad crítica de día cero (CVE-2025-55177) que permitía ataques de spyware sin clics a usuarios de iOS y Mac. La vulnerabilidad se utilizó para robar datos. Actualiza tu app ahora para mantenerte protegido.
WhatsApp ha revelado que ha solucionado una grave vulnerabilidad de seguridad en sus aplicaciones para dispositivos Apple que se utilizó para comprometer en secreto los iPhones y Macs de “usuarios específicos”.
El error, identificado como CVE-2025-55177 , fue descubierto por el equipo de seguridad interna de WhatsApp. La compañía explicó en su aviso oficial que la falla formaba parte de una sofisticada cadena de ataque que vinculaba dos vulnerabilidades independientes. Se trata de un método de ataque sin clics, que no requiere que la víctima haga clic en un enlace, abra un archivo ni realice ninguna otra acción para que su dispositivo se vea comprometido.
La falla en sí misma se debió a una "autorización incompleta de los mensajes de sincronización de dispositivos vinculados", explica el aviso. Esto permitió que un usuario no relacionado obligara al dispositivo objetivo a procesar contenido de una dirección web maliciosa.
Al combinarse con una falla independiente de Apple, CVE-2025-43300 (que Apple ya había corregido), en la gestión de imágenes, esta cadena de ataques podría utilizarse para instalar un programa malicioso y robar datos sin interacción del usuario. Cabe destacar que la falla afecta a WhatsApp para iOS (versión anterior a la 2.25.21.73), WhatsApp Business para iOS (versión anterior a la 2.25.21.78) y WhatsApp para Mac (versión anterior a la 2.25.21.78). WhatsApp confirmó haber enviado notificaciones a "menos de 200" usuarios que creía afectados.
Según un comunicado de la Agencia Nacional de Ciberseguridad (NCSA) de Qatar, la gravedad de esta falla radica en su mecanismo de procesamiento de mensajes de sincronización entre dispositivos vinculados, lo que podría permitir a un hacker obtener acceso inicial al dispositivo de una víctima.
#Meta , propietario de la famosa aplicación de chat #WhatsApp , ha anunciado la existencia de una vulnerabilidad crítica en la aplicación. La gravedad de esta falla reside en el mecanismo de procesamiento de mensajes de sincronización entre dispositivos vinculados, lo que permite a un atacante enviar un mensaje manipulado... pic.twitter.com/dYIwdij0gP
– Qatar Tribune (@Qatar_Tribune) 30 de agosto de 2025
El Laboratorio de Seguridad de Amnistía Internacional, dirigido por Donncha Ó Cearbhaill, describió los dos fallos como una "campaña avanzada de spyware" que afectó a los usuarios durante los últimos 90 días, o desde finales de mayo, y que era capaz de robar datos del dispositivo, incluidos mensajes. En una publicación en X, Cearbhaill también compartió consejos útiles, recomendando a los usuarios actualizar sus dispositivos o restablecerlos a la configuración de fábrica.
Aunque aún no se sabe con certeza quién está detrás de este último ataque, no es la primera vez que los usuarios de WhatsApp son blanco de spyware avanzado. En 2019, la aplicación de mensajería demandó al fabricante de spyware NSO Group por una campaña de hackeo que comprometió a más de 1400 usuarios con su software espía Pegasus. Posteriormente, un tribunal estadounidense ordenó a la compañía pagar a WhatsApp 167 millones de dólares en daños y perjuicios.
Este nuevo incidente demuestra la amenaza constante del spyware y malware gubernamental. También pone de relieve la importancia de que los usuarios mantengan siempre sus aplicaciones y sistemas operativos actualizados, ya que estas actualizaciones suelen contener parches de seguridad críticos para protegerse contra ataques tan sofisticados.
HackRead
