WhatsApp corrige un error de spyware de 'cero clic' en dispositivos Apple

WhatsApp ha corregido una falla de seguridad crítica en sus aplicaciones de iOS y Mac que los hackers estaban explotando en una campaña de spyware sigilosa, sin que los usuarios tuvieran que hacer clic en un enlace o abrir un archivo.

La plataforma de mensajería propiedad de Meta dijo que la vulnerabilidad — rastreada como CVE-2025-55177 — estaba emparejada con otra vulnerabilidad (CVE-2025-43300) en el software de Apple que la compañía corrigió la semana pasada. Juntas, crearon lo que los expertos en seguridad llaman un exploit de “cero clic” — un hackeo que permitió a los hackers infiltrarse en iPhones y Macs sin que se requiriera ninguna acción del usuario.

“Una autorización incompleta de los mensajes de sincronización de dispositivos vinculados en WhatsApp [..] podría haber permitido a un usuario no relacionado activar el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo,” escribió WhatsApp en un aviso de seguridad el viernes.

“Evaluamos que esta vulnerabilidad, en combinación con una vulnerabilidad a nivel de sistema operativo en las plataformas de Apple (CVE-2025-43300), puede haber sido explotada en un ataque sofisticado contra usuarios específicos.”

Esta falla de cero clic afectó a WhatsApp para iOS antes de la versión 2.25.21.73, WhatsApp Business para iOS v2.25.21.78, y WhatsApp para Mac v2.25.21.78.

A principios de este mes, Apple lanzó actualizaciones de emergencia para corregir la falla de día cero CVE-2025-43300, señalando que ya había sido explotada en un “ataque extremadamente sofisticado.”

Mientras que las dos compañías deben identificar públicamente quién estaba detrás de los ataques, Donncha Ó Cearbhaill (el jefe del Laboratorio de Seguridad en Amnistía Internacional) dijo que WhatsApp alertó recientemente a algunos usuarios que fueron afectados por una “campaña de spyware avanzada” que duró aproximadamente 90 días. Esta campaña ha afectado a menos de 200 personas en todo el mundo, incluidos miembros de la sociedad civil.

Tabla de Contenidos

• Respuesta de WhatsApp
• ¿Qué deberías hacer?

Respuesta de WhatsApp

“Hemos realizado cambios para prevenir que este ataque específico ocurra a través de WhatsApp. Sin embargo, el sistema operativo de tu dispositivo podría seguir comprometido por el malware o ser objetivo de otras maneras,” leyeron las alertas de WhatsApp.

Donncha Ó Cearbhaill describió que la campaña estaba diseñada para infiltrarse en iPhones y Macs de forma remota, sin que las víctimas recibieran señales de advertencia de que sus dispositivos estaban comprometidos, mientras que daba acceso a los atacantes a mensajes privados y datos sensibles.

“También es importante: la vulnerabilidad de Apple estaba en una biblioteca de imágenes central, apuntando posiblemente a través de otras aplicaciones además de WhatsApp,” agregó Donncha Ó Cearbhaill.

Esta no es la primera vez que WhatsApp ha sido utilizado como un canal de entrega para spyware de grado gubernamental. En 2019, la compañía demandó al proveedor de spyware israelí NSO Group después de que su malware Pegasus infiltrara más de 1,400 dispositivos, incluidos periodistas y activistas. Más recientemente, WhatsApp dijo que interrumpió otra campaña que apuntaba a grupos de la sociedad civil en Italia.

Los expertos en seguridad advierten que estos ataques muestran el creciente poder de la industria de la vigilancia. Al explotar vulnerabilidades previamente desconocidas, los atacantes pueden infiltrarse incluso en los dispositivos más actualizados. A diferencia de los intentos de phishing, los exploits de cero clic no dependen de las acciones del usuario, lo que los hace casi imposibles de prevenir y defender.

¿Qué deberías hacer?

Para los usuarios cotidianos de WhatsApp, el riesgo es extremadamente bajo. Sin embargo, es fundamental actualizar tus aplicaciones y sistema operativo lo antes posible.

Para periodistas, activistas y otros en campos sensibles, los expertos en seguridad también recomiendan activar el Modo de Bloqueo de Apple o el Modo de Protección Avanzada de Android para una capa adicional de defensa. A medida que los creadores de spyware están constantemente buscando debilidades, mantener los dispositivos actualizados y parchados es la mejor línea de defensa una vez que las correcciones están disponibles.