El pasado viernes, WhatsApp anunció que había solucionado una vulnerabilidad crítica utilizada por atacantes desconocidos para instalar spyware en dispositivos de Apple. El fallo, registrado como CVE-2025-55177, permitía ataques del tipo “zero click”, es decir, sin que el usuario tuviera que abrir enlaces ni interactuar con mensajes sospechosos.
Meta, propietaria de WhatsApp, admitió que el fallo “podría haber sido explotado en un ataque sofisticado contra usuarios específicos”. La noticia llega apenas una semana después de que Apple también parcheara otro error grave, CVE-2025-43300, que afectaba al procesamiento de imágenes maliciosas y podía provocar corrupción de memoria.
Cómo funcionaba el exploit
Según Apple, bastaba con que el dispositivo recibiera un archivo de imagen manipulado para que se ejecutara el ataque. En combinación con el bug de WhatsApp, los atacantes tenían una puerta abierta para introducir software espía en los iPhones de las víctimas.
Aunque no se conocen los detalles técnicos exactos —como es habitual en este tipo de vulnerabilidades críticas—, expertos en ciberseguridad apuntan a que se trató de una campaña muy dirigida. WhatsApp aseguró haber notificado a menos de 200 usuarios en los últimos 90 días sobre la posible exposición.
Un riesgo para periodistas y activistas
Donncha Ó Cearbhaill, responsable del Security Lab de Amnistía Internacional, confirmó que su equipo investiga los casos de individuos afectados. En X (antes Twitter), escribió que la organización está apoyando a miembros de la sociedad civil que recibieron notificaciones de WhatsApp.
Los ataques “zero click” son especialmente preocupantes porque no dependen de engañar al usuario mediante phishing. El simple hecho de recibir el archivo es suficiente para que el dispositivo quede comprometido. En los últimos años, este tipo de técnicas se han usado contra periodistas, activistas y funcionarios gubernamentales, en muchos casos vinculadas a empresas de software espía con sede en Israel.
Un recordatorio de la vulnerabilidad digital
Aunque la mayoría de usuarios de WhatsApp y Apple no fueron afectados, este caso evidencia lo delicado del ecosistema digital actual. Incluso sin hacer clic en enlaces sospechosos o descargar apps dudosas, un dispositivo puede quedar expuesto a ciberataques de alto nivel.
La recomendación de los expertos es mantener tanto WhatsApp como iOS siempre actualizados, ya que los parches publicados corrigen estas vulnerabilidades. Sin embargo, la sombra de los ataques invisibles seguirá siendo una preocupación para los sectores más expuestos.
Este artículo ha sido traducido de Gizmodo US por Romina Fabbretti. Aquí podrás encontrar la versión original.
