WhatsApp y el zero-click en iOS y macOS: qué ocurrió y cómo protegerte

  • CVE-2025-55177 en WhatsApp se encadenó con CVE-2025-43300 de Apple en ataques zero-click dirigidos.
  • Se afectaron versiones antiguas de WhatsApp iOS, Business y Mac; ya existen parches disponibles.
  • Meta notificó a menos de 200 potenciales víctimas y recomendó restablecimiento de fábrica en casos sospechosos.
  • Actualizar apps y sistemas, y reforzar detección comportamiento, es clave para mitigar cadenas de explotación.
Andy Acosta

13 minutos

Vulnerabilidad zero-click en WhatsApp para iOS y macOS

En los últimos días ha saltado una alerta seria: una vulnerabilidad de tipo zero-click en WhatsApp afectó a usuarios de iOS y macOS y fue explotada de forma activa dentro de una cadena más amplia que también aprovechaba un fallo a nivel de sistema operativo en Apple. El caso ha quedado parcheado, pero el episodio vuelve a abrir el debate sobre el auge de las campañas que encadenan varios zero-days para entregar spyware sin interacción del usuario.

La foto completa incluye dos piezas clave: el bug de WhatsApp identificado como CVE-2025-55177, y el zero-day de Apple CVE-2025-43300. Según los avisos oficiales y a la confirmación de investigadores de organizaciones como Amnistía Internacional, el ataque estuvo activo alrededor de 90 días y apuntó a un grupo reducido de personas, menos de 200 objetivos, en una operación muy dirigida. Aunque Meta y Apple reaccionaron rápido con parches, se han recomendado medidas de alto impacto, como el restablecimiento de fábrica de los dispositivos potencialmente comprometidos.

Qué ha pasado y por qué importa

whatsapp multidispositivo
Artículo relacionado:
¿Cómo tener WhatsApp en dos dispositivos?

A finales de agosto, Apple lanzó una actualización de emergencia para cerrar CVE-2025-43300, un problema crítico de escritura fuera de límites en su framework de imágenes (ImageIO) que afectaba a iOS, iPadOS y macOS. La compañía reconoció explotación activa y describió ataques extremadamente sofisticados contra personas concretas. Este es el telón de fondo sobre el que se ha confirmado ahora un segundo eslabón: CVE-2025-55177 en WhatsApp para iOS y macOS.

El fallo de WhatsApp ya está corregido en versiones recientes, pero se utilizó de forma combinada con el bug de Apple para impulsar una cadena de explotación zero-click. En este enfoque, la víctima no necesita abrir nada ni tocar el móvil: es suficiente con que el dispositivo procese contenido malicioso que llega por los canales adecuados, algo que reduce a cero la fricción para el atacante y eleva el riesgo.

Este caso encaja en una tendencia clara: actores avanzados encadenan múltiples vulnerabilidades para evadir controles y conseguir persistencia. No es un fenómeno nuevo, pero en los últimos cuatro años su uso se ha intensificado de forma sostenida; el Threat Analysis Group de Google contabilizó 75 zero-days explotados activamente en 2024, y en 2025 los zero-days siguen siendo el vector principal de compromiso inicial en aproximadamente un tercio de las intrusiones.

WhatsApp notificó directamente a quienes podrían haberse visto afectados y, además del parche, recomendó una acción contundente: restaurar el dispositivo a valores de fábrica. El motivo es evidente: aunque el exploit concreto en WhatsApp quede inutilizado, es posible que el sistema siga comprometido por componentes de malware persistentes.

Cómo funciona un ataque zero-click

Un ataque zero-click es, básicamente, una explotación que no requiere interacción por parte del usuario. Ni abrir un mensaje, ni pulsar un enlace, ni descargar nada: basta con que el sistema reciba y procese un input malicioso. Al eliminar la intervención de la víctima, este tipo de explotación es especialmente peligrosa y difícil de detectar a tiempo.

En el caso investigado, el vector partía de WhatsApp y explotaba una comprobación de permisos insuficiente en el flujo de sincronización de dispositivos vinculados. Tras ese primer punto de apoyo, la cadena se combinaba con una vulnerabilidad de Apple para elevar privilegios, persistir y, potencialmente, entregar spyware con capacidades avanzadas (acceso a datos, micrófono o cámara, entre otros).

La clave está en que WhatsApp se ejecuta con permisos limitados, por lo que el ataque completo suele requerir un segundo eslabón en el sistema para obtener persistencia y capacidades más profundas. Esa encadenación de fallos es lo que se ha observado aquí.

Desde la perspectiva de defensa, los zero-click fuerzan a reforzar la superficie de ataque en los puntos donde el sistema procesa contenidos de forma automática (parsers de medios, librerías de imágenes, rutinas de sincronización), ya que se convierten en objetivos prioritarios para atacantes con recursos.

Detalles técnicos de CVE-2025-55177 (WhatsApp)

Detalles de CVE-2025-55177 en WhatsApp

El identificador CVE-2025-55177 describe una autorización incompleta de los mensajes de sincronización en dispositivos vinculados de WhatsApp. En la práctica, esa verificación laxa habría permitido que un actor remoto forzase el procesamiento de contenido desde una URL arbitraria en el dispositivo víctima, sin necesidad de interacción.

WhatsApp señaló que la vulnerabilidad fue explotada en ataques dirigidos, y que estiman un número reducido de víctimas (menos de 200) durante los últimos tres meses. La puntuación de severidad asociada en algunas notas públicas es CVSS 5.4; no obstante, su impacto real se dispara al formar parte de una cadena zero-click con un zero-day de sistema.

En cuanto a la afectación, el aviso del proveedor indica que el problema alcanza a múltiples ramas de la app: WhatsApp para iOS anteriores a la versión 2.25.21.73; WhatsApp Business para iOS anteriores a 2.25.21.78; y WhatsApp para Mac anteriores a 2.25.21.78. Estas versiones ya disponen de parches publicados.

Meta y WhatsApp recomendaron, además de actualizar, tomar medidas de contención excepcionales en los casos donde existan indicios de compromiso: reinicio de fábrica, actualización del sistema operativo y revisión posterior de la configuración y permisos.

El eslabón de Apple: CVE-2025-43300 y actualizaciones

La otra pieza de la cadena es CVE-2025-43300, una escritura fuera de límites en ImageIO que Apple parchó a finales de agosto. La compañía emitió actualizaciones de emergencia para iOS, iPadOS y macOS, indicando que existían informes de explotación activa contra objetivos concretos y describiendo los ataques como extremadamente sofisticados.

Las versiones con correcciones incluyen iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 y macOS Ventura 13.7.8. Aunque Apple no ha publicado detalles técnicos profundos, los marcos de procesamiento de imágenes han sido históricamente candidatos prioritarios para atacantes debido al elevado volumen de contenido «ingestado» por apps y servicios del sistema.

Expertos independientes subrayan que, cuando una librería de imágenes central como ImageIO presenta un fallo explotable, el alcance potencial se amplía, ya que múltiples aplicaciones podrían pasar a ser vectores de entrada, no solo una app concreta.

Alcance, víctimas y atribución

Meta confirmó que notificó a las personas potencialmente afectadas y que el número de objetivos fue inferior a 200. Donncha Ó Cearbhaill, del Security Lab de Amnistía Internacional, indicó que se trató de una campaña de spyware avanzado que habría operado durante los últimos 90 días y que afectó a miembros de la sociedad civil, periodistas y otros perfiles sensibles.

En su análisis público, Amnistía advirtió que la afectación podría no limitarse a una sola plataforma, señalando indicios de impacto en iPhone y Android. A la vez, WhatsApp y Apple han precisado con claridad el perímetro de versiones y sistemas implicados, de modo que la medida inmediata pasa por aplicar todas las actualizaciones disponibles y seguir las recomendaciones de contención.

El experto Pierluigi Paganini valoró el incidente como un recordatorio de que incluso plataformas masivas y bien defendidas mantienen superficies expuestas. El uso de zero-click en campañas de vigilancia estatales y comerciales ha crecido, lo que refuerza la necesidad de mejorar controles, transparencia y auditoría de seguridad.

Versiones afectadas y parches disponibles

Explicación de ataques zero-click

WhatsApp ha publicado correcciones para todas las ramas afectadas de sus clientes en Apple:

  • WhatsApp para iOS: actualizar a 2.25.21.73 o superior.
  • WhatsApp Business para iOS: actualizar a 2.25.21.78 o superior.
  • WhatsApp para Mac: actualizar a 2.25.21.78 o superior.

Desde el lado de Apple, es imprescindible instalar las versiones con parches: iOS 18.6.2, iPadOS 18.6.2 / 17.7.10, macOS 15.6.1 / 14.7.8 / 13.7.8. Dado que la cadena observada combinaba app y sistema, la protección efectiva exige actualizar ambos.

Además, la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) añadió CVE-2025-55177 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 2 de septiembre, ordenando a agencias federales parchear antes del 23 de septiembre, lo que refuerza la urgencia del caso.

Recomendaciones urgentes para usuarios

Aunque el parche ya está disponible, si has recibido notificación o sospechas compromiso, conviene adoptar medidas de contención y saneamiento más estrictas, como revisar copias de seguridad y seguir los pasos indicados:

  • Actualizar WhatsApp (iOS, Business y Mac) a las versiones indicadas o superiores.
  • Aplicar todas las actualizaciones de iOS, iPadOS y macOS con parches de seguridad recientes.
  • Si hay indicios de intrusión, realizar un restablecimiento de fábrica del dispositivo y reinstalar desde cero.
  • Revisar y endurecer permisos de apps, desactivar funciones innecesarias y habilitar 2FA donde proceda.

Estas acciones minimizan la posibilidad de que persistan componentes maliciosos que se hayan instalado aprovechando la cadena de explotación, y reducen el riesgo ante intentos de reinfección.

Medidas para empresas y equipos de seguridad

En entornos corporativos, la prioridad es orquestar el parcheo con soluciones MDM, verificar el cumplimiento de versiones y monitorear señales de comportamiento anómalo en endpoints y cuentas.

Recomendaciones clave para SOC y equipos de threat hunting: recopilar y analizar logs relacionados con mensajería, sincronización entre dispositivos vinculados, eventos de red y procesos multimedia, buscando patrones fuera de lo normal.

Ante sospechas fundadas, conviene iniciar procedimientos de análisis forense (volcado lógico/archivo, revisiones de persistencia y perfiles de ejecución) y coordinar con el proveedor de EDR para reglas temporales de contención.

Es útil definir un playbook específico para zero-click en apps de mensajería, ya que los flujos de entrada y parsing de contenido difieren de las intrusiones tradicionales basadas en phishing.

Detección y respuesta: SOC Prime y Uncoder AI

Para reforzar la capacidad de detección, la plataforma SOC Prime ofrece acceso a un mercado global con más de 600.000 reglas y consultas de detección creadas por ingenieros especializados, actualizadas a diario y enriquecidas con inteligencia de amenazas.

Estas detecciones están alineadas con MITRE ATT&CK e incluyen enlaces de CTI, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triage y metadatos, facilitando el mapeo táctico-técnico y la operatividad en múltiples SIEM, EDR y data lakes.

Los equipos pueden explorar la colección de reglas Sigma basadas en comportamiento bajo la etiqueta «CVE» usando la función Explorar Detecciones, acelerando la cobertura frente a amenazas activas y emergentes en torno a CVE-2025-55177.

Además, Uncoder AI —el IDE/copiloto de ingeniería de detección— incorpora modo de chat y soporte para herramientas MCP, permitiendo convertir IOCs en consultas de caza en segundos, generar código de detección desde informes en bruto, crear diagramas de flujo de ataque, predecir etiquetas ATT&CK, optimizar queries con IA y traducir contenido entre plataformas.

Tendencias: el auge de los zero-days encadenados

Los últimos años muestran un aumento sostenido de la explotación de zero-days, con variaciones anuales menores. El TAG de Google documentó 75 casos en 2024, y en 2025 los zero-days continúan siendo el mecanismo principal de acceso inicial en alrededor de un tercio de intentos de intrusión.

Los actores con más recursos tienden a encadenar vulnerabilidades —app + sistema— para sortear mitigaciones modernas, lo que eleva el listón defensivo: ya no basta un parche aislado, sino coberturas coordinadas que incluyan detección de pos-explotación.

En este contexto, marcos como ATT&CK y repositorios comunitarios de detecciones comportamiento-centradas (por ejemplo, Sigma) ayudan a generalizar coberturas que no dependan de indicadores frágiles.

El caso de WhatsApp/Apple reafirma que los parsers de contenido y los flujos «silenciosos» (sin clic del usuario) seguirán en el punto de mira por su potencial para comprometer sistemas de forma discreta.

Cronología y validación oficial

Apple publicó parches de emergencia a finales de agosto para CVE-2025-43300 y avisó de explotación activa contra víctimas concretas. Seguidamente, WhatsApp liberó actualizaciones en julio y agosto para corregir CVE-2025-55177 en iOS, Business y Mac.

El 2 de septiembre, la CISA incorporó CVE-2025-55177 a su catálogo KEV, obligando a agencias federales de EE. UU. a parchear antes del 23 de septiembre. En paralelo, WhatsApp envió alertas a los posibles afectados recomendando el restablecimiento de fábrica y mantener el sistema operativo al día.

El comunicado de Meta subrayó que ya se habían hecho cambios para evitar la repetición de este ataque específico a través de WhatsApp, matizando que el sistema operativo podría seguir expuesto si persistían restos del malware.

Antecedentes de WhatsApp frente al spyware

Contexto de la vulnerabilidad en WhatsApp y Apple

Este incidente no es aislado. En marzo, investigadores del Citizen Lab reportaron otra falla de día cero que se aprovechó para instalar el spyware Graphite de Paragon; WhatsApp anunció que había desbaratado esa campaña y contactado con las víctimas.

Además, en 2019, WhatsApp demandó al NSO Group por Pegasus. En mayo de 2024, un tribunal estadounidense ordenó a NSO pagar 167 millones de dólares en daños, reforzando la idea de que las plataformas están dispuestas a litigar para desincentivar estas operaciones.

La recurrencia de estos casos ha llevado a Meta y a la comunidad de seguridad a presionar por controles más fuertes, así como por mayor transparencia en los procesos de revelación y parcheo coordinado.

Android: parche de seguridad de septiembre de 2025

Aunque el incidente central afecta a sistemas Apple, el panorama móvil en general también se mueve. Google publicó el parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, incluidas dos explotadas activamente: CVE-2025-38352 (condición de carrera en temporizadores POSIX del kernel Linux con escalada de privilegios/DoS) y CVE-2025-48543 (falla en Android Runtime que permite a apps maliciosas evadir el sandbox).

Se solucionaron igualmente cuatro vulnerabilidades críticas, entre ellas CVE-2025-48539, una RCE en el componente SYSTEM activable vía Bluetooth o Wi‑Fi sin interacción del usuario. Otras tres (CVE-2025-21450, CVE-2025-21483, CVE-2025-27034) afectan a componentes Qualcomm, con corrupción de memoria y errores de validación que habilitan RCE en el módem baseband.

Los parches están disponibles para Android 13 a 16, y se recomienda actualizar a los niveles 2025-09-01 o 2025-09-05. Para dispositivos con Android 12 o anterior, lo sensato es reemplazarlos o usar distribuciones con soporte activo. Más detalles públicos se compartieron en esta comunicación.

Este contexto recuerda que, independientemente del ecosistema, la higiene de parches y el gobierno de dispositivos siguen siendo críticos para reducir la superficie de ataque frente a exploits sin clic.

Servicios especializados y apoyo externo

Más allá de los parches, algunas organizaciones optan por apoyarse en proveedores con capacidades de ciberseguridad y desarrollo para fortalecer su postura. Firmas como Q2BSTUDIO combinan desarrollo de software y apps a medida, inteligencia artificial y servicios gestionados en la nube (AWS/Azure) para desplegar parches de forma segura y escalar detecciones.

Estos servicios incluyen prácticas de hardening, pruebas de penetración y auditorías, además de soluciones de inteligencia de negocio (p. ej., Power BI) para visualizar riesgos y métricas operativas. También desarrollan agentes de IA para detección de anomalías en tiempo real y automatización de la respuesta a incidentes.

Referencias y avisos oficiales

Si necesitas ampliar información técnica, puedes consultar las fuentes públicas y avisos del proveedor: NVD (CVE-2025-55177), Aviso de seguridad de Meta, The Hacker News y BleepingComputer, además de las actualizaciones de Apple mencionadas.

Todo apunta a que la mejor defensa pasa por mantener al día el sistema y las apps, endurecer configuraciones, incorporar detección basada en comportamiento y contar con playbooks de respuesta. La lección que deja esta campaña es clara: cuando un actor combina un fallo en una app con un zero-day del sistema, el margen para detectarlo a tiempo se estrecha, así que conviene elevar el listón de prevención y vigilancia de forma sostenida.