WhatsApp corrige una vulnerabilidad en iOS de tipo zero‑click

Última actualización: 2 de septiembre de 2025
Autor: Isaac
  • Fallo CVE-2025-55177 en WhatsApp para iOS y macOS, explotado como ataque zero‑click encadenado con una brecha de Apple (CVE-2025-43300).
  • Meta confirma menos de 200 usuarios notificados y una campaña activa durante unos 90 días.
  • Versiones afectadas: iOS < 2.25.21.73, Business iOS 2.25.21.78 y Mac 2.25.21.78; parches ya disponibles.
  • Recomendaciones: actualizar WhatsApp y iOS/macOS, reiniciar, activar doble verificación y, si procede, restablecimiento de fábrica.

Vulnerabilidad de WhatsApp en iOS

WhatsApp ha solucionado un fallo de seguridad que afectaba a iPhone y Mac, aprovechado en ataques de tipo zero‑click contra un grupo reducido de personas. La vulnerabilidad, registrada como CVE-2025-55177, se originaba en la gestión de los mensajes de sincronización entre dispositivos vinculados.

Meta señala que el problema pudo combinarse con otra brecha a nivel del sistema de Apple (CVE-2025-43300), lo que permitió una intrusión más sofisticada sin interacción del usuario. Aunque el alcance ha sido limitado a menos de 200 casos, el episodio reabre el debate sobre la exposición de iOS a campañas de spyware dirigidas.

Qué ha pasado y qué ha corregido Meta

Actualización de seguridad de WhatsApp en iOS

El equipo de Seguridad de WhatsApp detectó una autorización incompleta en el sistema de sincronización de dispositivos vinculados. En determinadas circunstancias, un atacante podía forzar el procesamiento de contenido procedente de una URL arbitraria en el dispositivo objetivo.

Este comportamiento elevó el riesgo de ejecución de código sin que la víctima realizase ninguna acción. De ahí que se catalogue como un ataque sin interacción del usuario, un tipo de intrusión especialmente preocupante porque elimina la dependencia del engaño al usuario.

La vulnerabilidad (CVE-2025-55177) recibió una puntuación de 8.0 en la escala CVSS, un indicador de que se trataba de un fallo crítico en iPhone que requería parche urgente. Meta afirma que ya fue corregido y que la mitigación está disponible mediante actualización de la aplicación.

Además de corregir el error, WhatsApp envió avisos de amenaza dentro de la app a un número reducido de usuarios potencialmente afectados. Entre las recomendaciones internas figuraba el restablecimiento de fábrica del dispositivo en los casos de mayor riesgo.

Cómo funcionaba el exploit y la cadena con iOS

Ataque encadenado a vulnerabilidades en iOS

Según la información disponible, el exploit de WhatsApp podía encadenarse con CVE-2025-43300, una vulnerabilidad de Apple en el framework ImageIO. Ese segundo fallo permitía corrupción de memoria al procesar imágenes maliciosas, abriendo la puerta a la ejecución de código.

El escenario, por tanto, combinaba un defecto en la verificación de mensajes entre equipos vinculados con un error en el procesamiento de contenidos del sistema. La cadena permitía a un actor malicioso inyectar y ejecutar carga útil en iOS o macOS sin que el usuario hiciera clic ni interactuase.

Este modelo de ataque encaja con una campaña altamente dirigida, en la que los adversarios seleccionan objetivos concretos y utilizan técnicas de bajo ruido para minimizar huellas forenses.

La naturaleza silenciosa del vector explica que WhatsApp y Apple acelerasen la publicación de parches, ya que los ataques zero‑click suelen aprovechar ventanas de tiempo cortas en las que no existen protecciones disponibles para el público general.

Versiones afectadas y parches disponibles

Versiones afectadas de WhatsApp en iOS y macOS

WhatsApp detalló las compilaciones afectadas y las fechas de corrección. Si utilizas iPhone o Mac, conviene comprobar que ejecutas una versión igual o posterior a las siguientes:

  • WhatsApp para iOS anterior a la versión 2.25.21.73 (parcheada el 28 de julio)
  • WhatsApp Business para iOS versión 2.25.21.78 (parche del 4 de agosto)
  • WhatsApp para Mac versión 2.25.21.78 (actualizada el 4 de agosto)

En paralelo, Apple distribuyó actualizaciones de seguridad que corrigen CVE-2025-43300 en iOS, iPadOS y macOS. En iPhone, la compañía liberó iOS 18.6.2 para cerrar la brecha a nivel de sistema.

Si tu dispositivo está por debajo de esas versiones, lo prioritario es actualizar tanto el sistema operativo como la app de WhatsApp antes de seguir usando la cuenta en ese equipo.

Alcance del ataque y perfil de los objetivos

Ataques dirigidos en iOS a través de WhatsApp

Meta informó de menos de 200 usuarios notificados a nivel global. La ventana temporal de actividad se estima en unos 90 días, desde finales de mayo, de acuerdo con los datos compartidos por responsables de investigación independientes.

Donncha Ó Cearbhaill, al frente del Security Lab de Amnistía Internacional, indicó que se trató de una operación de espionaje selectivo contra personas de la sociedad civil, periodistas y defensores de derechos humanos, todos ellos perfiles habituales en campañas de vigilancia comercial.

WhatsApp asegura haber contenido el incidente y continúa colaborando en la identificación de vectores y artefactos, con el objetivo de reforzar las controles defensivos frente a intentos similares en el futuro inmediato.

Aunque el número de víctimas es reducido, la sofisticación técnica y el uso de cadenas de exploits justifican la alerta, especialmente para usuarios de alto riesgo que conviene que revisen sus rutinas de seguridad digital.

Qué debes hacer si usas iPhone o Mac

Recomendaciones de seguridad para iOS y WhatsApp

La primera medida es actualizar de inmediato WhatsApp en iOS y macOS, y aplicar las últimas versiones de iOS/iPadOS y macOS disponibles desde Ajustes o Preferencias del Sistema.

Si recibiste una notificación de WhatsApp indicando riesgo, sigue las indicaciones y valora un restablecimiento de fábrica para eliminar cualquier posible persistencia del spyware en el dispositivo.

Buenas prácticas adicionales: realiza un reinicio periódico del terminal, activa la verificación en dos pasos de WhatsApp y revisa los dispositivos vinculados, eliminando los que no reconozcas.

En escenarios de sospecha, desinstala y reinstala la app, desactiva temporalmente las copias de seguridad si crees que pudieron verse comprometidas y, si es posible, pasa un análisis con una solución de seguridad reconocida.

  • Mantén iOS y macOS al día, sobre todo tras parches que corrigen fallos de ejecución de código.
  • Revisa con frecuencia la sección «Dispositivos vinculados» en WhatsApp y elimina accesos que no sean tuyos.
  • Habilita la verificación en dos pasos para añadir una capa extra a tu cuenta.

Contexto: campañas previas y vigilancia comercial

Contexto de spyware y WhatsApp en iOS

Este incidente se suma a otros casos en los que se han aprovechado vulnerabilidades para comprometer dispositivos iOS mediante spyware. WhatsApp ha reportado y frenado operaciones similares en el pasado, y mantiene litigios y esfuerzos técnicos para dificultar la explotación.

En paralelo a los parches, la plataforma refuerza controles y procedimientos de detección, mientras que Apple continúa endureciendo ImageIO y otros componentes de altas superficies de ataque, recordando que el ecosistema requiere vigilancia constante.

La cooperación entre proveedores y la publicación rápida de actualizaciones reduce la ventana de oportunidad de los atacantes; aun así, la mejor defensa para los usuarios sigue siendo actualizar sin demora, limitar la superficie de exposición y adoptar hábitos de seguridad proactivos.

Con las vulnerabilidades ya corregidas por Meta y Apple, el escenario vuelve a la normalidad para la mayoría, pero conviene no bajar la guardia: mantener WhatsApp e iOS al día, revisar dispositivos vinculados y habilitar medidas como la doble verificación son pasos sencillos que marcan la diferencia ante ataques silenciosos y dirigidos.

WhatsApp vulnerabilidad iOS
Artículo relacionado:
Vulnerabilidad en WhatsApp para iOS: ataques zero‑click ya parcheados