Tras un ataque dirigido de alta precisión, WhatsApp ha publicado un parche y pide a todos los usuarios que actualicen cuanto antes la app. La campaña aprovechó una vulnerabilidad de tipo zero-click, capaz de comprometer dispositivos con solo recibir un mensaje malicioso.
La compañía explica que su fallo interno, encadenado con una vulnerabilidad del sistema de Apple (CVE-2025-43300), pudo emplearse en ataques sofisticados contra personas concretas para acceder a sus equipos y a los datos almacenados.
Qué ha pasado y cómo se explotó
El error de WhatsApp, identificado como CVE-2025-55177, residía en la sincronización de cuentas entre dispositivos vinculados y podía forzar el procesamiento de contenido desde URLs arbitrarias en el equipo de la víctima, sin necesidad de interacción.
Según el investigador Donncha Ó Cearbhaill (Amnistía Internacional), la campaña se desarrolló durante unos 90 días y afectó a un número reducido de personas —menos de 200 objetivos—, principalmente con iPhone, aunque se registraron intentos aislados en Android.
WhatsApp asegura haber introducido cambios para bloquear este vector en su plataforma y Apple ha emitido parches para iOS y macOS; pese a ello, la compañía avisa de que el sistema operativo podría seguir comprometido si el malware mantiene persistencia.
Versiones corregidas y alcance
La corrección ya está disponible en WhatsApp para iOS (v2.25.21.73), en WhatsApp Business para iOS (v2.25.21.78) y en WhatsApp para Mac (v2.25.21.78). El fallo recibió 8.0 en la evaluación CVSS (CISA-ADP) y 5.4 en la valoración interna de Meta.
El ataque combinó la brecha de WhatsApp con un error de Apple (CVE-2025-43300) en el framework ImageIO —escritura fuera de límites al tratar imágenes manipuladas—, permitiendo una intrusión de alto nivel con ejecución de código. Es el tipo de técnica asociada a spyware gubernamental, citado a menudo junto a casos como Pegasus o Predator.
Cómo protegerte y actualizar ahora
Si recibiste una alerta dentro de la app, la recomendación más contundente es realizar un restablecimiento completo de fábrica y, a continuación, actualizar tanto el sistema como las aplicaciones. Para elevar la protección, WhatsApp y expertos en seguridad sugieren activar el Modo de Bloqueo en iOS o la Protección Avanzada en Android.
Para mantener actualizada la aplicación de mensajería en iPhone, sigue estos pasos sencillos:
- Abre la App Store y toca tu perfil (arriba a la derecha).
- Desliza para ver la lista de apps y localiza WhatsApp.
- Pulsa Actualizar si aparece disponible; si no, busca “WhatsApp” y comprueba la última versión.
- En Ajustes del iPhone, activa las actualizaciones automáticas para apps y para iOS.
- Reinicia el dispositivo tras actualizar para asegurar la aplicación del parche.
Medidas básicas recomendadas para todos los usuarios, incluso si no han recibido aviso, a fin de reducir la exposición:
- Actualizar inmediatamente WhatsApp en iOS y macOS a las versiones parcheadas.
- Mantener iOS, iPadOS y macOS al día, aplicando las últimas actualizaciones de seguridad de Apple.
- Realizar un reinicio periódico del dispositivo, útil contra ciertos exploits de día cero.
- Activar la verificación en dos pasos en WhatsApp para añadir una capa extra.
Con el vector bloqueado en la app y parches ya disponibles en los sistemas de Apple, la prioridad es actualizar sin demora y aplicar buenas prácticas: si bien el ataque fue limitado en escala y muy dirigido, su sofisticación —zero-click y encadenamiento de vulnerabilidades— exige prudencia y dispositivos al día.