WhatsApp ha corregido una vulnerabilidad crítica en sus clientes de iOS y macOS que estaba siendo aprovechada en ataques zero-day dirigidos. La compañía confirmó que el fallo afectaba a varias versiones de la aplicación y que fue utilizado en campañas sofisticadas contra usuarios específicos.

Detalles de la vulnerabilidad CVE-2025-55177

El problema, catalogado como CVE-2025-55177, se encontraba en el proceso de sincronización de dispositivos vinculados. Según WhatsApp:

“Una autorización incompleta en los mensajes de sincronización podría permitir que un tercero forzara la carga de contenido desde una URL arbitraria en el dispositivo objetivo.”

Las versiones afectadas fueron:

• WhatsApp para iOS anteriores a la 2.25.21.73
• WhatsApp Business para iOS versión 2.25.21.78
• WhatsApp para Mac versión 2.25.21.78

Relación con la vulnerabilidad en Apple (CVE-2025-43300)

El fallo en WhatsApp se combinaba con otra vulnerabilidad a nivel del sistema operativo en plataformas Apple (CVE-2025-43300), lo que incrementaba el nivel de riesgo. Apple ya había alertado que este exploit fue utilizado en un ataque “extremadamente sofisticado”.

Usuarios alertados sobre posibles ataques

En paralelo, WhatsApp envió notificaciones a personas que podrían haber sido víctimas de una campaña de spyware avanzado en los últimos 90 días. En sus mensajes de advertencia, la empresa recomienda:

• Realizar un restablecimiento de fábrica del dispositivo.
• Mantener siempre el sistema operativo y las aplicaciones actualizadas.

Antecedentes de ataques previos

No es la primera vez que WhatsApp enfrenta ataques de este tipo. En marzo, la plataforma corrigió otro fallo zero-day que fue aprovechado para instalar el spyware Graphite, desarrollado por Paragon. Esta campaña también afectó a periodistas y miembros de la sociedad civil, según investigaciones independientes.

En aquel momento, WhatsApp aseguró haber tomado medidas para interrumpir la operación de espionaje y contactó directamente a las personas afectadas.

Conclusión

El caso refleja cómo los exploits zero-day siguen siendo una amenaza latente para usuarios de aplicaciones de mensajería. Tanto WhatsApp como Apple han publicado parches de seguridad urgentes, por lo que la recomendación clave es actualizar inmediatamente los dispositivos para minimizar riesgos de intrusión.