Grave vulnerabilidad en WhatsApp: ciberdelincuentes ya la están explotando
Un fallo crítico en WhatsApp ha encendido las alarmas de expertos en ciberseguridad. La vulnerabilidad afecta a la función de dispositivos vinculados y podría abrir la puerta a robo de datos, instalación de malware y ataques de ransomware.
Un error de día cero en la app de mensajería más usada
WhatsApp, con más de 2.000 millones de usuarios activos, es la plataforma de mensajería más popular a nivel global, tanto para uso personal como profesional. Esa masividad convierte cualquier brecha en un riesgo serio. Desde Estados Unidos llega la confirmación de que un fallo de día cero está siendo aprovechado en ataques activos contra usuarios.
El pasado 2 de septiembre de 2025, la Agencia de Ciberseguridad e Infraestructura (CISA) añadió la vulnerabilidad, catalogada como CVE-2025-55177, a su listado de vulnerabilidades explotadas conocidas (KEV). Esto confirma que no se trata de un riesgo hipotético: los atacantes ya la están utilizando.
¿Cómo funciona la vulnerabilidad?
El error está relacionado con la función que permite usar WhatsApp en varios dispositivos sin que el móvil principal esté encendido. El problema es un fallo de autorización incorrecta (CWE-863) en el proceso de sincronización.
En la práctica, esto significa que un ciberdelincuente puede manipular los mensajes de sincronización y hacer que el dispositivo víctima acepte datos maliciosos de fuentes externas. En otras palabras: el móvil o PC puede procesar información que no proviene de WhatsApp, sino de un atacante.
Lo más preocupante es que en algunos escenarios la explotación no requiere interacción del usuario. Ni clics, ni descargas: basta con tener activa la función de dispositivos vinculados.
Riesgos potenciales: del espionaje al ransomware
Aunque CISA aún no ha confirmado ataques de ransomware usando este fallo, el abanico de riesgos es amplio. Entre los escenarios posibles destacan:
- Robo de datos confidenciales: desde chats privados hasta información corporativa.
- Instalación de malware o spyware en el dispositivo afectado.
- Acceso a redes corporativas a través de dispositivos sincronizados.
- Campañas de phishing avanzadas con enlaces que parecen enviados por la propia víctima.
- Persistencia en el dispositivo, manteniendo el control incluso tras reinicios o actualizaciones.
La respuesta de CISA: plazo límite 23 de septiembre
La agencia estadounidense ha sido clara: todas las instituciones federales y organizaciones críticas deben mitigar la vulnerabilidad antes del 23 de septiembre. Ese es el plazo marcado en el catálogo KEV para aplicar parches o medidas provisionales.
Sin embargo, la advertencia va más allá del sector público. Empresas privadas, universidades y usuarios particulares también deberían actuar cuanto antes.
Meta trabaja en un parche
Meta Platforms, propietaria de WhatsApp, está desarrollando una actualización de seguridad con carácter prioritario. El problema es que aún no se ha comunicado una fecha de lanzamiento. Esto deja a usuarios y empresas en un limbo: saben que existe la vulnerabilidad, pero no disponen todavía de una solución oficial.
Por ello, expertos recomiendan que en entornos de riesgo se desactive temporalmente la función de dispositivos vinculados hasta que llegue el parche.
Una lección sobre la seguridad en apps de mensajería
Este incidente recuerda una verdad incómoda: las aplicaciones de mensajería son más que simples chats. Contienen información sensible que las convierte en un blanco perfecto para ciberdelincuentes. Por eso, mantenerlas actualizadas y aplicar medidas preventivas es tan importante como proteger cualquier otro sistema crítico.
: vulnerabilidad activa permite robo de datos y ataques de malware){kind=link}