Qué ha pasado
El equipo de seguridad de WhatsApp identificó una debilidad en el manejo de los mensajes de sincronización de dispositivos vinculados, registrada como CVE-2025-55177. Combinada con una vulnerabilidad del sistema en Apple (CVE-2025-43300), posibilitaba un ataque de tipo zero click contra un número limitado de usuarios en los últimos 90 días.
Apple, por su parte, corrigió un problema en la librería de imágenes del sistema (ImageIO) que permitía que un archivo especialmente manipulado provocara corrupción de memoria. Tal y como advirtió Donncha Ó Cearbhaill, del Security Lab de Amnistía Internacional, el error en la biblioteca de imágenes central implicaba que otras apps también podían ser vector de entrada.
Meta ha explicado que la explotación fue sofisticada y dirigida, con objetivos de alto valor, y que notificó individualmente a los potenciales afectados. La empresa subraya que la vulnerabilidad en su app ya está parcheada.
Cómo funcionaba la cadena de ataque
El primer eslabón explotaba una autorización incompleta en la comprobación de los mensajes de sincronización entre dispositivos vinculados de WhatsApp. Bajo ciertas condiciones, el atacante podía forzar el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima.
El segundo eslabón residía en el componente ImageIO de Apple (CVE-2025-43300). Al recibir una imagen manipulada, el sistema podía ejecutar código sin interacción del usuario, lo que hacía viable un ataque zero click: bastaba con que el dispositivo recibiera el archivo para quedar comprometido.
Al encadenar ambos fallos, los actores maliciosos podían desplegar spyware a través de WhatsApp en iOS, iPadOS o macOS, obteniendo acceso a datos y chats sin que el usuario pulsara en enlaces ni abriera archivos. La combinación permitía tomar control del terminal de forma silenciosa.
Autoridades y organismos de ciberseguridad han prestado atención al caso: la CISA incluyó el CVE-2025-43300 en su catálogo de vulnerabilidades explotadas, enfatizando la necesidad de aplicar actualizaciones con urgencia.
Versiones afectadas y estado de los parches
Según Meta, se consideran en riesgo las instalaciones de WhatsApp que no han alcanzado las últimas versiones estables. En concreto, afectaba a lanzamientos anteriores a los siguientes:
- WhatsApp para iOS: antes de v2.25.21.73
- WhatsApp Business para iOS: antes de v2.25.21.78
- WhatsApp para Mac: antes de v2.25.21.78
Los indicios apuntan a que la campaña estuvo activa al menos tres meses. Aunque el fallo en WhatsApp y el de Apple ya están solucionados, quienes permanezcan en versiones antiguas continúan expuestos, por lo que es imprescindible actualizar app y sistema cuanto antes.
Meta está enviando avisos a potenciales afectados y, en casos de compromiso, recomienda un restablecimiento de fábrica del dispositivo. Esta medida busca eliminar cualquier persistencia del malware a nivel de sistema antes de volver a configurar y actualizar por completo el equipo.
Recomendaciones de seguridad
Para minimizar el riesgo, verifica que tu iPhone, iPad o Mac ejecuta la última versión de iOS, iPadOS o macOS y que WhatsApp está completamente actualizado desde la App Store. Comprueba también que la versión de la app coincide con las revisiones corregidas.
Además, conviene realizar un reinicio periódico del dispositivo (ayuda a cortar ciertos payloads en memoria), revisar los dispositivos vinculados a tu cuenta y cerrar sesiones que no reconozcas. Si has recibido notificación oficial de Meta, plantéate el reseteo de fábrica y restablece después tus copias de seguridad con cautela.
- Actualiza todo: sistema operativo y WhatsApp a sus últimas versiones disponibles.
- Reinicia el equipo con frecuencia para mitigar exploits en memoria volátil.
- Controla los dispositivos vinculados en WhatsApp y elimina accesos sospechosos.
- Activa la verificación en dos pasos para añadir una barrera adicional a tu cuenta.
- Restaura de fábrica si has sido avisado de posible compromiso y configura de cero.
Este incidente vuelve a poner de relieve que incluso plataformas muy extendidas pueden sufrir exploits de alto nivel. Con los parches ya disponibles para CVE-2025-55177 y CVE-2025-43300, la mejor defensa pasa por actualizar sin demora, vigilar los dispositivos vinculados y aplicar hábitos de seguridad que eviten que un ataque zero click vuelva a pillarnos a contrapié.
Sep 2 2025
WhatsApp corrige una grave vulnerabilidad en dispositivos Apple
Qué ha pasado
El equipo de seguridad de WhatsApp identificó una debilidad en el manejo de los mensajes de sincronización de dispositivos vinculados, registrada como CVE-2025-55177. Combinada con una vulnerabilidad del sistema en Apple (CVE-2025-43300), posibilitaba un ataque de tipo zero click contra un número limitado de usuarios en los últimos 90 días.
Apple, por su parte, corrigió un problema en la librería de imágenes del sistema (ImageIO) que permitía que un archivo especialmente manipulado provocara corrupción de memoria. Tal y como advirtió Donncha Ó Cearbhaill, del Security Lab de Amnistía Internacional, el error en la biblioteca de imágenes central implicaba que otras apps también podían ser vector de entrada.
Meta ha explicado que la explotación fue sofisticada y dirigida, con objetivos de alto valor, y que notificó individualmente a los potenciales afectados. La empresa subraya que la vulnerabilidad en su app ya está parcheada.
Cómo funcionaba la cadena de ataque
El primer eslabón explotaba una autorización incompleta en la comprobación de los mensajes de sincronización entre dispositivos vinculados de WhatsApp. Bajo ciertas condiciones, el atacante podía forzar el procesamiento de contenido desde una URL arbitraria en el dispositivo de la víctima.
El segundo eslabón residía en el componente ImageIO de Apple (CVE-2025-43300). Al recibir una imagen manipulada, el sistema podía ejecutar código sin interacción del usuario, lo que hacía viable un ataque zero click: bastaba con que el dispositivo recibiera el archivo para quedar comprometido.
Al encadenar ambos fallos, los actores maliciosos podían desplegar spyware a través de WhatsApp en iOS, iPadOS o macOS, obteniendo acceso a datos y chats sin que el usuario pulsara en enlaces ni abriera archivos. La combinación permitía tomar control del terminal de forma silenciosa.
Autoridades y organismos de ciberseguridad han prestado atención al caso: la CISA incluyó el CVE-2025-43300 en su catálogo de vulnerabilidades explotadas, enfatizando la necesidad de aplicar actualizaciones con urgencia.
Versiones afectadas y estado de los parches
Según Meta, se consideran en riesgo las instalaciones de WhatsApp que no han alcanzado las últimas versiones estables. En concreto, afectaba a lanzamientos anteriores a los siguientes:
Los indicios apuntan a que la campaña estuvo activa al menos tres meses. Aunque el fallo en WhatsApp y el de Apple ya están solucionados, quienes permanezcan en versiones antiguas continúan expuestos, por lo que es imprescindible actualizar app y sistema cuanto antes.
Meta está enviando avisos a potenciales afectados y, en casos de compromiso, recomienda un restablecimiento de fábrica del dispositivo. Esta medida busca eliminar cualquier persistencia del malware a nivel de sistema antes de volver a configurar y actualizar por completo el equipo.
Recomendaciones de seguridad
Para minimizar el riesgo, verifica que tu iPhone, iPad o Mac ejecuta la última versión de iOS, iPadOS o macOS y que WhatsApp está completamente actualizado desde la App Store. Comprueba también que la versión de la app coincide con las revisiones corregidas.
Además, conviene realizar un reinicio periódico del dispositivo (ayuda a cortar ciertos payloads en memoria), revisar los dispositivos vinculados a tu cuenta y cerrar sesiones que no reconozcas. Si has recibido notificación oficial de Meta, plantéate el reseteo de fábrica y restablece después tus copias de seguridad con cautela.
Este incidente vuelve a poner de relieve que incluso plataformas muy extendidas pueden sufrir exploits de alto nivel. Con los parches ya disponibles para CVE-2025-55177 y CVE-2025-43300, la mejor defensa pasa por actualizar sin demora, vigilar los dispositivos vinculados y aplicar hábitos de seguridad que eviten que un ataque zero click vuelva a pillarnos a contrapié.
By Roger Casadejús Pérez • Blog 0