WhatsApp ha solucionado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple iOS y macOS que, según dijo, podría haber sido explotada en estado salvaje junto con una falla de Apple revelada recientemente en los ataques selectivos de día cero.

La vulnerabilidad, CVE-2025-55177 (puntuación CVSS: 8.0 [CISA-ADP] /5.4 [Facebook]), se refiere a un caso de autorización insuficiente de los mensajes de sincronización de dispositivos enlazados. Los investigadores internos del equipo de seguridad de WhatsApp han descubierto el error y lo han vuelto a calificar.

La empresa propiedad de Meta dijo el problema «podría haber permitido a un usuario no relacionado activar el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo».

La falla afecta a las siguientes versiones -

  • WhatsApp para iOS anteriores a la versión 2.25.21.73 (parcheada el 28 de julio de 2025)
  • WhatsApp Business para iOS versión 2.25.21.78 (parcheada el 4 de agosto de 2025), y
  • WhatsApp para Mac versión 2.25.21.78 (parcheada el 4 de agosto de 2025)

También consideró que la deficiencia podría estar relacionada con el CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPadOS y macOS, como parte de un ataque sofisticado contra usuarios específicos.

CVE-2025-43300 fue divulgado de Apple la semana pasada por haber sido convertida en arma en un «ataque extremadamente sofisticado contra personas específicas».

La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el marco ImageIO que podría provocar daños en la memoria al procesar una imagen malintencionada.

Donncha Ó Cearbhaill, directora del laboratorio de seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que, a su juicio, fueron blanco de una campaña avanzada de software espía en los últimos 90 días mediante el uso del CVE-2025-55177.

En la alerta enviada a las personas objetivo, WhatsApp también recomendó realizar un restablecimiento completo de fábrica del dispositivo y mantener su sistema operativo y la aplicación WhatsApp actualizados para una protección óptima. Actualmente no se sabe quién o qué proveedor de software espía está detrás de los ataques.

Ó Cearbhaill describió el par de vulnerabilidades como un ataque «sin clic», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo.

«Los primeros indicios apuntan a que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a los de Android, entre ellos a personas de la sociedad civil», Ó Cearbhaill dijo . «El software espía gubernamental sigue representando una amenaza para los periodistas y los defensores de los derechos humanos».

Actualización

En una declaración compartida con The Hacker News, WhatsApp dijo que había enviado notificaciones de amenazas en la aplicación a menos de 200 usuarios que podrían haber sido atacados como parte de la campaña.

(La historia se actualizó después de su publicación para aclarar que se publicaron parches para la falla a finales de julio/agosto de 2025).

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.