Vulnerabilidad en WhatsApp para iOS: ataques zero‑click ya parcheados

iPhone World » General » Vulnerabilidad en WhatsApp para iOS: ataques zero‑click ya parcheados

WhatsApp ha solucionado una vulnerabilidad explotable sin interacción del usuario en iPhone y Mac que fue empleada en ataques dirigidos. El fallo, catalogado como CVE-2025-55177, afectaba a las apps de iOS y macOS y se combinó con una brecha del sistema de Apple para ejecutar un exploit de tipo zero-click.

Según la compañía y fuentes del ámbito de derechos digitales, la campaña estuvo activa durante unas nueve semanas a tres meses y el alcance ha sido limitado, con menos de 200 usuarios notificados. Aunque el caso es acotado, la naturaleza del ataque y su sofisticación han puesto el foco en la protección de dispositivos Apple frente al software espía.

Qué ha pasado y cómo se detectó

El equipo de seguridad de WhatsApp identificó un fallo de autorización incompleta en la sincronización de dispositivos vinculados. En la práctica, un atacante podía forzar que el sistema procesara contenido desde una URL arbitraria como si fuera legítima, abriendo la puerta a la ejecución de código sin que el usuario hiciera nada.

Este comportamiento encaja con un patrón de ataques zero-click: basta con que el dispositivo reciba el paquete malicioso para quedar comprometido. Donncha Ó Cearbhaill, del Security Lab de Amnistía Internacional, explicó que observaron una campaña altamente dirigida contra un número reducido de personas de la sociedad civil.

Meta confirmó que el incidente fue contenido y que las versiones afectadas ya están parcheadas. Además, la empresa envió advertencias dentro de la aplicación a los posibles objetivos y recomendó medidas adicionales de higiene de seguridad en casos de riesgo elevado.

Versiones afectadas y estado de los parches

WhatsApp detalló las versiones vulnerables y su corrección. Si usas iPhone o Mac, comprueba que tu app no esté en estas compilaciones previas para evitar exposición innecesaria.

• WhatsApp para iOS anterior a la versión 2.25.21.73 (corregida el 28 de julio).
• WhatsApp Business para iOS versión 2.25.21.78 (parcheada el 4 de agosto).
• WhatsApp para Mac versión 2.25.21.78 (actualizada el 4 de agosto).

El fallo recibió una puntuación de 8.0 en el CVSS, lo que indica severidad alta. Aunque la ventana de explotación fue limitada, la recomendación es actualizar inmediatamente la app en todos los dispositivos vinculados.

Un combinado peligroso: el fallo de Apple

La investigación apunta a que CVE-2025-55177 se encadenó con CVE-2025-43300, una vulnerabilidad a nivel de sistema operativo en dispositivos Apple. Esta última afectaba al procesamiento de imágenes y podía provocar corrupción de memoria al interpretar archivos manipulados.

Al combinar ambos fallos, un atacante obtenía una ruta para implantar spyware sin clics mediante un simple mensaje recibido en WhatsApp. Apple lanzó parches de emergencia (incluyendo iOS 18.6.2 y actualizaciones para iPadOS y macOS), por lo que es clave instalar la última actualización del sistema además de la app.

Aunque los detalles técnicos completos no se han divulgado —práctica habitual para mitigar imitaciones—, expertos consultados coinciden en que se trató de una operación de perfil avanzado y fuertemente acotada.

Alcance, víctimas y atribución

Meta señaló que menos de 200 usuarios recibieron notificaciones de amenaza durante los últimos 90 días. En este tipo de campañas, los objetivos suelen incluir periodistas, activistas y otras figuras de alto interés.

Si bien no hay atribución pública, los patrones observados son consistentes con proveedores de spyware y actores con recursos. Amnistía Internacional confirmó que está apoyando a varias personas tras recibir alertas de posible exposición en sus dispositivos Apple.

La visibilidad limitada forma parte del problema: estos ataques, por diseño, no requieren interacción y dejan pocos rastros, de ahí la importancia de mantener tanto el sistema como las aplicaciones completamente al día.

Qué hacer ahora: guía rápida

Si usas iPhone o Mac, toma estas medidas para reducir el riesgo y cerrar cualquier vía de explotación conocida en WhatsApp y en el sistema de Apple.

• Actualiza WhatsApp en iOS y macOS a la última versión disponible desde App Store o la web oficial.
• Instala las actualizaciones de iOS, iPadOS y macOS (incluida iOS 18.6.2 y equivalentes) cuanto antes.
• Si recibiste una alerta in‑app de WhatsApp, considera un restablecimiento de fábrica para erradicar persistencias.
• Realiza un reinicio periódico del dispositivo; puede limitar la persistencia de ciertos exploits de memoria.
• Activa la verificación en dos pasos en WhatsApp para añadir una capa adicional a tu cuenta.
• Revisa los dispositivos vinculados en WhatsApp y elimina sesiones que no reconozcas.

Estas pautas no garantizan inmunidad total frente a adversarios de alto nivel, pero recortan notablemente la superficie de ataque y dificultan nuevas intrusiones.

Cómo comprobar si estás protegido en iPhone y Mac

En iPhone, abre App Store > icono de perfil y desplázate para ver actualizaciones pendientes de WhatsApp. En macOS, usa la app de WhatsApp y entra en Acerca de para confirmar la versión.

Para el sistema, ve a Ajustes > General > Actualización de software en iOS/iPadOS, y a Ajustes del Sistema > General > Actualización de software en macOS. Instalar todas las correcciones de seguridad es esencial para cerrar la cadena CVE-2025-55177 + CVE-2025-43300.

Si notas comportamientos anómalos o recibiste una notificación de WhatsApp, realiza copia de seguridad segura y valora restaurar el dispositivo siguiendo las indicaciones oficiales.

Con los parches ya disponibles tanto en WhatsApp como en las plataformas de Apple, la prioridad pasa por actualizar sin demora, revisar versiones y aplicar buenas prácticas (2FA, reinicios periódicos y control de dispositivos vinculados); medidas sencillas que marcan la diferencia frente a campañas discretas de spyware zero-click.

Artículo relacionado:

iPhone y spyware: el caso Paragon desvela nuevas amenazas a la privacidad