WhatsApp blinda su seguridad ante una vulnerabilidad detectada en iOS y macOS
Una de las buenas noticias es que la cantidad de usuarios afectados es bastante limitada. Es muy importante tener la última versión de la aplicación instalada para evitar problemas.
WhatsApp ha corregido una vulnerabilidad que afectaba a sus aplicaciones para iOS y macOS, utilizada en una campaña de espionaje que comprometió la privacidad de unos pocos usuarios. El fallo, identificado como CVE-2025-55177, se combinó con una brecha de seguridad a nivel de sistema operativo en dispositivos Apple (CVE-2025-43300), lo que permitió a los atacantes ejecutar un exploit de tipo “zero-click.
Un ataque invisible y altamente dirigido
La característica más preocupante de este ataque es lo antes mencionado: su naturaleza “zero-click”. A diferencia de los métodos tradicionales que requieren que el usuario ejecute un enlace o descargue un archivo, este tipo de vulnerabilidad permite que el dispositivo sea comprometido sin que el usuario realice ninguna acción. En este caso, los atacantes aprovecharon una autorización incompleta en el sistema de sincronización de dispositivos vinculados de WhatsApp, lo que les permitió procesar contenido desde URL arbitrarias en los dispositivos de las víctimas.
La campaña de espionaje estuvo activa durante al menos 90 días, desde finales de mayo, según ha confirmado Donncha Ó Cearbhaill, responsable del Security Lab de Amnistía Internacional. Aunque no se ha revelado la identidad de los atacantes, todo apunta a una operación altamente especializada, posiblemente vinculada a actores estatales o empresas de software espía.
Dispositivos y versiones afectadas
WhatsApp ha detallado que las versiones vulnerables de su aplicación incluyen las siguientes:
- WhatsApp para iOS anterior a la versión 2.25.21.73
- WhatsApp Business para iOS versión 2.25.21.78
- WhatsApp para Mac versión 2.25.21.78
Estas versiones ya han sido parcheadas, y se recomienda actualizar a las últimas versiones disponibles para evitar riesgos de seguridad. Apple, por su parte, lanzó actualizaciones de emergencia para varios de sus sistemas operativos.
Meta confirma el alcance limitado del ataque
Margarita Franklin, portavoz de Meta, ha confirmado que el fallo fue detectado y corregido hace unas semanas. La compañía notificó directamente a los usuarios afectados, que fueron menos de 200 en total. Aunque el número es reducido, el tipo de ataque y su sofisticación han encendido las alarmas en la comunidad de ciberseguridad.
WhatsApp también ha enviado alertas de seguridad a los usuarios potencialmente comprometidos, recomendando realizar un restablecimiento de fábrica del dispositivo y mantener tanto el sistema operativo como la aplicación actualizados para garantizar la protección completa.
WhatsApp es una aplicación segura
Este incidente no es aislado. WhatsApp ha sido objetivo de múltiples campañas de spyware en los últimos años. A principios de 2025, la plataforma logró interrumpir una operación de espionaje llevada a cabo por Paragon, que tenía como objetivo a periodistas y miembros de la sociedad civil en Italia.
Además, en 2019, WhatsApp demandó al grupo NSO, creador del infame spyware Pegasus, por comprometer la seguridad de más de 1.400 usuarios. En mayo de 2024, un tribunal estadounidense ordenó al NSO Group pagar 167 millones de dólares (aproximadamente 155 millones de euros) en concepto de daños a WhatsApp. La solución de estos problemas deja claro los esfuerzos de la compañía por proteger la privacidad de sus usuarios, especialmente en un contexto donde las amenazas digitales se vuelven cada vez más sofisticadas.