WhatsApp anunció el viernes que ha corregido una vulnerabilidad crítica en sus aplicaciones para iOS y Mac que estaba siendo explotada activamente para infiltrarse en dispositivos Apple de usuarios específicos.

De acuerdo con el aviso de seguridad de la compañía, la vulnerabilidad —identificada como CVE-2025-55177— fue utilizada en combinación con otra falla en iOS y macOS (CVE-2025-43300), la cual Apple solucionó la semana pasada. Apple describió previamente el ataque como parte de una operación “extremadamente sofisticada” dirigida a un pequeño grupo de individuos. Ahora se sabe que decenas de usuarios de WhatsApp se vieron afectados.

Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional, calificó el incidente en X como una “campaña avanzada de software espía” que ha estado activa durante los últimos 90 días, desde finales de mayo. Explicó que las vulnerabilidades fueron explotadas en un ataque de tipo zero-click, lo que significa que no requería ninguna interacción del usuario —como hacer clic en un enlace— para comprometer el dispositivo, lo que lo hace especialmente peligroso.

Al encadenar las dos fallas, los atacantes podían entregar una carga maliciosa a través de WhatsApp, capaz de extraer información sensible del dispositivo de la víctima. Según Ó Cearbhaill, las notificaciones de seguridad enviadas por WhatsApp a los usuarios afectados advertían que el exploit podía “comprometer el dispositivo y los datos que contiene, incluidos los mensajes”.

Aún no está claro quién estuvo detrás del ataque ni qué proveedor de spyware desarrolló las herramientas. Margarita Franklin, portavoz de Meta, declaró a TechCrunch que WhatsApp detectó y corrigió la falla “hace unas semanas” y que posteriormente emitió “menos de 200” notificaciones a usuarios afectados. La compañía no atribuyó la campaña a ningún actor o grupo de vigilancia específico.

Este caso resalta una amenaza recurrente: los usuarios de WhatsApp han sido repetidamente atacados con spyware de grado gubernamental, un tipo de malware capaz de aprovechar vulnerabilidades de día cero en dispositivos totalmente actualizados.

En mayo, un tribunal estadounidense ordenó a NSO Group pagar 167 millones de dólares a WhatsApp por su campaña de 2019, en la que comprometió más de 1,400 dispositivos utilizando el spyware Pegasus. WhatsApp demandó a NSO alegando violaciones a leyes federales y estatales contra el hacking, así como a sus propios términos de servicio.

Más recientemente, WhatsApp interrumpió otra campaña de espionaje que apuntaba a unas 90 personas, entre ellas periodistas y miembros de la sociedad civil en Italia. El gobierno italiano negó su participación, y el proveedor de spyware Paragon posteriormente bloqueó el acceso de Italia a sus herramientas tras no investigar el abuso.

Este último caso evidencia la constante evolución de las amenazas de vigilancia y la importancia de aplicar parches de seguridad rápidamente, además de mantener informados a los usuarios.

Fuente: https://techcrunch.com/2025/08/29/whatsapp-fixes-zero-click-bug-used-to-hack-apple-users-with-spyware