Introducción a la vulnerabilidad zero-click en whatsapp
Recientemente, se ha identificado una vulnerabilidad de tipo zero-click en WhatsApp que ha afectado a usuarios de iOS y macOS. Este fallo se explotó activamente en una cadena de vulnerabilidades que también incluía un fallo a nivel de sistema operativo de Apple. Aunque ya se han implementado parches para solucionar el problema, este incidente ha reavivado el debate sobre la creciente amenaza que representan las campañas de espionaje que utilizan múltiples zero-days para instalar spyware sin necesidad de interacción por parte del usuario.
Qué ha pasado y por qué importa
En agosto, Apple lanzó una actualización de emergencia para cerrar la vulnerabilidad CVE-2025-43300, un problema crítico en su framework de imágenes conocido como ImageIO. Este fallo afectaba a iOS, iPadOS y macOS, y la compañía confirmó que se estaba explotando activamente en ataques sofisticados dirigidos a personas específicas. Esta vulnerabilidad de Apple fue utilizada en combinación con el fallo de WhatsApp, CVE-2025-55177, para crear una cadena de explotación zero-click.
La explotación zero-click permite que un atacante comprometa un dispositivo sin que el usuario tenga que realizar ninguna acción, lo que lo hace especialmente peligroso. En este caso, la combinación de vulnerabilidades de WhatsApp y Apple permitió a los atacantes eludir controles de seguridad y mantener un acceso persistente a los dispositivos de las víctimas.
Cómo funciona un ataque zero-click
Un ataque zero-click no requiere que el usuario realice ninguna acción, como abrir un mensaje o pulsar un enlace. Basta con que el sistema reciba y procese un input malicioso. En la investigación del caso actual, el vector de ataque comenzó en WhatsApp, explotando una comprobación de permisos insuficiente durante la sincronización de dispositivos vinculados. Este fallo permitía que un actor remoto forzara el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima.
La explotación de este tipo de vulnerabilidades se vuelve más peligrosa cuando se combina con otros fallos que permiten elevar privilegios y persistir en el sistema. Desde la perspectiva de defensa, los ataques zero-click obligan a reforzar la seguridad en los puntos del sistema que procesan contenido automáticamente, como librerías de imágenes y rutinas de sincronización.
Detalles técnicos de cve-2025-55177 (whatsapp)
La vulnerabilidad CVE-2025-55177 en WhatsApp se refiere a una autorización incompleta de los mensajes de sincronización en dispositivos vinculados. Esto permitía el procesamiento de contenido desde una URL arbitraria sin interacción del usuario. Aunque el número de víctimas fue reducido, el impacto potencial de esta vulnerabilidad se incrementa al formar parte de una cadena zero-click con un zero-day del sistema.
WhatsApp ha corregido esta vulnerabilidad en las siguientes versiones: WhatsApp para iOS 2.25.21.73 o superior, WhatsApp Business para iOS 2.25.21.78 o superior, y WhatsApp para Mac 2.25.21.78 o superior. Además, Meta y WhatsApp han recomendado a los usuarios afectados que realicen un reinicio de fábrica del dispositivo, actualicen el sistema operativo y revisen la configuración y permisos.
El eslabón de apple: cve-2025-43300 y actualizaciones
La otra pieza de la explotación zero-click es la vulnerabilidad CVE-2025-43300 en ImageIO de Apple, que fue parchada a finales de agosto. Las actualizaciones de emergencia se emitieron para iOS, iPadOS y macOS, dado que se habían recibido informes de explotación activa. Las correcciones de esta vulnerabilidad incluyeron versiones como iOS 18.6.2, iPadOS 18.6.2, y macOS Sequoia 15.6.1, entre otras.
Cuando una librería de imágenes central presenta un fallo explotable, el alcance potencial es significativo, ya que múltiples aplicaciones pueden ser utilizadas como vectores de entrada, no solo una app específica. Esto refuerza la necesidad de mantener actualizados tanto el sistema operativo como las aplicaciones que se ejecutan en él.
Alcance, víctimas y atribución
Meta notificó a las personas potencialmente afectadas, indicando que el número de objetivos fue inferior a 200. La campaña de spyware afectó a miembros de la sociedad civil, periodistas y otros perfiles sensibles. Aunque la mayoría de la afectación se centró en dispositivos Apple, se encontraron indicios de impacto en plataformas como iPhone y Android.
La recurrencia de este tipo de incidentes obliga a las plataformas y a la comunidad de seguridad a mejorar los controles y la transparencia en los procesos de revelación y parcheo coordinado. La explotación zero-click en campañas de vigilancia, tanto estatales como comerciales, ha ido en aumento, subrayando la importancia de la detección y la auditoría de seguridad.
Versiones afectadas y parches disponibles
WhatsApp ha publicado correcciones para todas las ramas afectadas de sus clientes en Apple. Los usuarios deben actualizar a las siguientes versiones o superiores:
- WhatsApp para iOS: 2.25.21.73
- WhatsApp Business para iOS: 2.25.21.78
- WhatsApp para Mac: 2.25.21.78
Apple también ha lanzado actualizaciones para cerrar la vulnerabilidad CVE-2025-43300, incluyendo iOS 18.6.2, iPadOS 18.6.2 / 17.7.10, y macOS 15.6.1 / 14.7.8 / 13.7.8. Dado que la cadena de explotación combinaba app y sistema, es crucial actualizar ambos para garantizar una protección efectiva.
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) añadió CVE-2025-55177 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 2 de septiembre, destacando la urgencia de aplicar los parches antes del 23 de septiembre.
Recomendaciones urgentes para usuarios
Para los usuarios que han recibido notificación o sospechan de compromiso, se recomienda adoptar medidas de contención y saneamiento más rigurosas. Esto incluye revisar copias de seguridad y seguir los siguientes pasos:
- Actualizar WhatsApp (iOS, Business y Mac) a las versiones indicadas o superiores.
- Aplicar todas las actualizaciones de iOS, iPadOS y macOS con parches de seguridad recientes.
- Realizar un restablecimiento de fábrica del dispositivo si hay indicios de intrusión y reinstalar desde cero.
- Revisar y endurecer permisos de apps, desactivar funciones innecesarias y habilitar 2FA donde proceda.
Estas acciones pueden ayudar a minimizar la posibilidad de que persistan componentes maliciosos y reducir el riesgo de una nueva infección.
Medidas para empresas y equipos de seguridad
En entornos corporativos, la prioridad es orquestar el parcheo con soluciones MDM, verificar el cumplimiento de versiones y monitorear señales de comportamiento anómalo en endpoints y cuentas. Las recomendaciones clave para SOC y equipos de threat hunting incluyen recopilar y analizar logs relacionados con mensajería, sincronización entre dispositivos vinculados, eventos de red y procesos multimedia.
Ante sospechas fundadas, se deben iniciar procedimientos de análisis forense y coordinar con el proveedor de EDR para reglas temporales de contención. Es útil definir un playbook específico para zero-click en apps de mensajería, ya que los flujos de entrada y parsing de contenido difieren de las intrusiones tradicionales basadas en phishing.
Detección y respuesta: soc prime y uncoder ai
Para mejorar la capacidad de detección, la plataforma SOC Prime ofrece un mercado global con más de 600.000 reglas y consultas de detección creadas por ingenieros especializados. Estas detecciones están alineadas con MITRE ATT&CK e incluyen enlaces de CTI, líneas de tiempo de ataques y configuraciones de auditoría.
Por otro lado, Uncoder AI, el IDE/copiloto de ingeniería de detección, incorpora un modo de chat y soporte para herramientas MCP. Esto permite convertir IOCs en consultas de caza en segundos y optimizar queries con IA, facilitando el mapeo táctico-técnico y la operatividad en múltiples SIEM, EDR y data lakes.
Tendencias: el auge de los zero-days encadenados
El uso de zero-days encadenados ha aumentado sostenidamente en los últimos años. En 2024, el Threat Analysis Group de Google documentó 75 casos, y en 2025 los zero-days continúan siendo el mecanismo principal de acceso inicial en alrededor de un tercio de los intentos de intrusión. Los actores con más recursos tienden a encadenar vulnerabilidades para sortear mitigaciones modernas, lo que eleva el listón defensivo.
El caso de WhatsApp y Apple reafirma que los parsers de contenido y los flujos «silenciosos» seguirán siendo objetivos prioritarios debido a su potencial para comprometer sistemas de forma discreta.
Cronología y validación oficial
Apple publicó parches de emergencia a finales de agosto para CVE-2025-43300, y WhatsApp liberó actualizaciones en julio y agosto para corregir CVE-2025-55177. El 2 de septiembre, CISA incorporó CVE-2025-55177 a su catálogo KEV, obligando a agencias federales a parchear antes del 23 de septiembre.
Meta subrayó que se habían hecho cambios para evitar la repetición de este ataque específico a través de WhatsApp, pero indicó que el sistema operativo podría seguir expuesto si persistían restos del malware.
Antecedentes de whatsapp frente al spyware
Este incidente no es el primero que enfrenta WhatsApp en relación con el spyware. En marzo, el Citizen Lab reportó otra falla de día cero que se aprovechó para instalar el spyware Graphite de Paragon. WhatsApp logró desbaratar esa campaña y contactó con las víctimas afectadas.
En 2019, WhatsApp demandó al NSO Group por el uso del spyware Pegasus. En mayo de 2024, un tribunal estadounidense ordenó a NSO pagar 167 millones de dólares en daños, lo que refuerza la determinación de las plataformas de litigar para desincentivar estas operaciones.
Android: parche de seguridad de septiembre de 2025
Aunque el incidente central se centra en sistemas Apple, el panorama móvil en general también está en movimiento. Google publicó el parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, incluidas dos explotadas activamente.
Los parches están disponibles para Android 13 a 16, y se recomienda actualizar a los niveles 2025-09-01 o 2025-09-05. Para dispositivos con Android 12 o anterior, se aconseja reemplazarlos o usar distribuciones con soporte activo.
Servicios especializados y apoyo externo
Muchas organizaciones optan por apoyarse en proveedores con capacidades de ciberseguridad y desarrollo para fortalecer su postura. Firmas como Q2BSTUDIO ofrecen desarrollo de software y apps a medida, inteligencia artificial y servicios gestionados en la nube para desplegar parches de forma segura y escalar detecciones.
Estos servicios incluyen pruebas de penetración, auditorías y soluciones de inteligencia de negocio para visualizar riesgos y métricas operativas, así como agentes de IA para detección de anomalías en tiempo real.
Referencias y avisos oficiales
Para obtener más información técnica sobre las vulnerabilidades, se pueden consultar fuentes públicas y avisos del proveedor, como el NVD, el aviso de seguridad de Meta, y artículos de The Hacker News y BleepingComputer.
La mejor defensa sigue siendo mantener al día el sistema y las aplicaciones, endurecer configuraciones, incorporar detección basada en comportamiento y contar con playbooks de respuesta. Este caso destaca la necesidad de elevar el nivel de prevención y vigilancia de forma constante.
Oct 2 2025
WhatsApp y el zero-click en iOS y macOS: qué ocurrió y cómo protegerte
Introducción a la vulnerabilidad zero-click en whatsapp
Recientemente, se ha identificado una vulnerabilidad de tipo zero-click en WhatsApp que ha afectado a usuarios de iOS y macOS. Este fallo se explotó activamente en una cadena de vulnerabilidades que también incluía un fallo a nivel de sistema operativo de Apple. Aunque ya se han implementado parches para solucionar el problema, este incidente ha reavivado el debate sobre la creciente amenaza que representan las campañas de espionaje que utilizan múltiples zero-days para instalar spyware sin necesidad de interacción por parte del usuario.
Qué ha pasado y por qué importa
En agosto, Apple lanzó una actualización de emergencia para cerrar la vulnerabilidad CVE-2025-43300, un problema crítico en su framework de imágenes conocido como ImageIO. Este fallo afectaba a iOS, iPadOS y macOS, y la compañía confirmó que se estaba explotando activamente en ataques sofisticados dirigidos a personas específicas. Esta vulnerabilidad de Apple fue utilizada en combinación con el fallo de WhatsApp, CVE-2025-55177, para crear una cadena de explotación zero-click.
La explotación zero-click permite que un atacante comprometa un dispositivo sin que el usuario tenga que realizar ninguna acción, lo que lo hace especialmente peligroso. En este caso, la combinación de vulnerabilidades de WhatsApp y Apple permitió a los atacantes eludir controles de seguridad y mantener un acceso persistente a los dispositivos de las víctimas.
Cómo funciona un ataque zero-click
Un ataque zero-click no requiere que el usuario realice ninguna acción, como abrir un mensaje o pulsar un enlace. Basta con que el sistema reciba y procese un input malicioso. En la investigación del caso actual, el vector de ataque comenzó en WhatsApp, explotando una comprobación de permisos insuficiente durante la sincronización de dispositivos vinculados. Este fallo permitía que un actor remoto forzara el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima.
La explotación de este tipo de vulnerabilidades se vuelve más peligrosa cuando se combina con otros fallos que permiten elevar privilegios y persistir en el sistema. Desde la perspectiva de defensa, los ataques zero-click obligan a reforzar la seguridad en los puntos del sistema que procesan contenido automáticamente, como librerías de imágenes y rutinas de sincronización.
Detalles técnicos de cve-2025-55177 (whatsapp)
La vulnerabilidad CVE-2025-55177 en WhatsApp se refiere a una autorización incompleta de los mensajes de sincronización en dispositivos vinculados. Esto permitía el procesamiento de contenido desde una URL arbitraria sin interacción del usuario. Aunque el número de víctimas fue reducido, el impacto potencial de esta vulnerabilidad se incrementa al formar parte de una cadena zero-click con un zero-day del sistema.
WhatsApp ha corregido esta vulnerabilidad en las siguientes versiones: WhatsApp para iOS 2.25.21.73 o superior, WhatsApp Business para iOS 2.25.21.78 o superior, y WhatsApp para Mac 2.25.21.78 o superior. Además, Meta y WhatsApp han recomendado a los usuarios afectados que realicen un reinicio de fábrica del dispositivo, actualicen el sistema operativo y revisen la configuración y permisos.
El eslabón de apple: cve-2025-43300 y actualizaciones
La otra pieza de la explotación zero-click es la vulnerabilidad CVE-2025-43300 en ImageIO de Apple, que fue parchada a finales de agosto. Las actualizaciones de emergencia se emitieron para iOS, iPadOS y macOS, dado que se habían recibido informes de explotación activa. Las correcciones de esta vulnerabilidad incluyeron versiones como iOS 18.6.2, iPadOS 18.6.2, y macOS Sequoia 15.6.1, entre otras.
Cuando una librería de imágenes central presenta un fallo explotable, el alcance potencial es significativo, ya que múltiples aplicaciones pueden ser utilizadas como vectores de entrada, no solo una app específica. Esto refuerza la necesidad de mantener actualizados tanto el sistema operativo como las aplicaciones que se ejecutan en él.
Alcance, víctimas y atribución
Meta notificó a las personas potencialmente afectadas, indicando que el número de objetivos fue inferior a 200. La campaña de spyware afectó a miembros de la sociedad civil, periodistas y otros perfiles sensibles. Aunque la mayoría de la afectación se centró en dispositivos Apple, se encontraron indicios de impacto en plataformas como iPhone y Android.
La recurrencia de este tipo de incidentes obliga a las plataformas y a la comunidad de seguridad a mejorar los controles y la transparencia en los procesos de revelación y parcheo coordinado. La explotación zero-click en campañas de vigilancia, tanto estatales como comerciales, ha ido en aumento, subrayando la importancia de la detección y la auditoría de seguridad.
Versiones afectadas y parches disponibles
WhatsApp ha publicado correcciones para todas las ramas afectadas de sus clientes en Apple. Los usuarios deben actualizar a las siguientes versiones o superiores:
Apple también ha lanzado actualizaciones para cerrar la vulnerabilidad CVE-2025-43300, incluyendo iOS 18.6.2, iPadOS 18.6.2 / 17.7.10, y macOS 15.6.1 / 14.7.8 / 13.7.8. Dado que la cadena de explotación combinaba app y sistema, es crucial actualizar ambos para garantizar una protección efectiva.
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) añadió CVE-2025-55177 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 2 de septiembre, destacando la urgencia de aplicar los parches antes del 23 de septiembre.
Recomendaciones urgentes para usuarios
Para los usuarios que han recibido notificación o sospechan de compromiso, se recomienda adoptar medidas de contención y saneamiento más rigurosas. Esto incluye revisar copias de seguridad y seguir los siguientes pasos:
Estas acciones pueden ayudar a minimizar la posibilidad de que persistan componentes maliciosos y reducir el riesgo de una nueva infección.
Medidas para empresas y equipos de seguridad
En entornos corporativos, la prioridad es orquestar el parcheo con soluciones MDM, verificar el cumplimiento de versiones y monitorear señales de comportamiento anómalo en endpoints y cuentas. Las recomendaciones clave para SOC y equipos de threat hunting incluyen recopilar y analizar logs relacionados con mensajería, sincronización entre dispositivos vinculados, eventos de red y procesos multimedia.
Ante sospechas fundadas, se deben iniciar procedimientos de análisis forense y coordinar con el proveedor de EDR para reglas temporales de contención. Es útil definir un playbook específico para zero-click en apps de mensajería, ya que los flujos de entrada y parsing de contenido difieren de las intrusiones tradicionales basadas en phishing.
Detección y respuesta: soc prime y uncoder ai
Para mejorar la capacidad de detección, la plataforma SOC Prime ofrece un mercado global con más de 600.000 reglas y consultas de detección creadas por ingenieros especializados. Estas detecciones están alineadas con MITRE ATT&CK e incluyen enlaces de CTI, líneas de tiempo de ataques y configuraciones de auditoría.
Por otro lado, Uncoder AI, el IDE/copiloto de ingeniería de detección, incorpora un modo de chat y soporte para herramientas MCP. Esto permite convertir IOCs en consultas de caza en segundos y optimizar queries con IA, facilitando el mapeo táctico-técnico y la operatividad en múltiples SIEM, EDR y data lakes.
Tendencias: el auge de los zero-days encadenados
El uso de zero-days encadenados ha aumentado sostenidamente en los últimos años. En 2024, el Threat Analysis Group de Google documentó 75 casos, y en 2025 los zero-days continúan siendo el mecanismo principal de acceso inicial en alrededor de un tercio de los intentos de intrusión. Los actores con más recursos tienden a encadenar vulnerabilidades para sortear mitigaciones modernas, lo que eleva el listón defensivo.
El caso de WhatsApp y Apple reafirma que los parsers de contenido y los flujos «silenciosos» seguirán siendo objetivos prioritarios debido a su potencial para comprometer sistemas de forma discreta.
Cronología y validación oficial
Apple publicó parches de emergencia a finales de agosto para CVE-2025-43300, y WhatsApp liberó actualizaciones en julio y agosto para corregir CVE-2025-55177. El 2 de septiembre, CISA incorporó CVE-2025-55177 a su catálogo KEV, obligando a agencias federales a parchear antes del 23 de septiembre.
Meta subrayó que se habían hecho cambios para evitar la repetición de este ataque específico a través de WhatsApp, pero indicó que el sistema operativo podría seguir expuesto si persistían restos del malware.
Antecedentes de whatsapp frente al spyware
Este incidente no es el primero que enfrenta WhatsApp en relación con el spyware. En marzo, el Citizen Lab reportó otra falla de día cero que se aprovechó para instalar el spyware Graphite de Paragon. WhatsApp logró desbaratar esa campaña y contactó con las víctimas afectadas.
En 2019, WhatsApp demandó al NSO Group por el uso del spyware Pegasus. En mayo de 2024, un tribunal estadounidense ordenó a NSO pagar 167 millones de dólares en daños, lo que refuerza la determinación de las plataformas de litigar para desincentivar estas operaciones.
Android: parche de seguridad de septiembre de 2025
Aunque el incidente central se centra en sistemas Apple, el panorama móvil en general también está en movimiento. Google publicó el parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, incluidas dos explotadas activamente.
Los parches están disponibles para Android 13 a 16, y se recomienda actualizar a los niveles 2025-09-01 o 2025-09-05. Para dispositivos con Android 12 o anterior, se aconseja reemplazarlos o usar distribuciones con soporte activo.
Servicios especializados y apoyo externo
Muchas organizaciones optan por apoyarse en proveedores con capacidades de ciberseguridad y desarrollo para fortalecer su postura. Firmas como Q2BSTUDIO ofrecen desarrollo de software y apps a medida, inteligencia artificial y servicios gestionados en la nube para desplegar parches de forma segura y escalar detecciones.
Estos servicios incluyen pruebas de penetración, auditorías y soluciones de inteligencia de negocio para visualizar riesgos y métricas operativas, así como agentes de IA para detección de anomalías en tiempo real.
Referencias y avisos oficiales
Para obtener más información técnica sobre las vulnerabilidades, se pueden consultar fuentes públicas y avisos del proveedor, como el NVD, el aviso de seguridad de Meta, y artículos de The Hacker News y BleepingComputer.
La mejor defensa sigue siendo mantener al día el sistema y las aplicaciones, endurecer configuraciones, incorporar detección basada en comportamiento y contar con playbooks de respuesta. Este caso destaca la necesidad de elevar el nivel de prevención y vigilancia de forma constante.
By Roger Casadejús Pérez • Blog 0