WhatsApp corrige una vulnerabilidad de cero clic en las plataformas de Apple usada en una campaña de espionaje
WhatsApp ha corregido una vulnerabilidad que ha podido facilitar la ejecución de ataques sofisticados contra usuarios individuales de la aplicación en las plataformas de Apple, aprovechando un fallo en la verificación de mensajes en dispositivos vinculados para distribuir un ‘spyware’.
El equipo de Seguridad de WhatsApp ha identificado una vulnerabilidad en las aplicaciones para iOS y MacOS, que se ha recogido como CVE-2025-55177 y que provoca una “autorización incompleta de los mensajes de sincronización de dispositivos vinculados”.
Los mensajes entre dispositivos vinculados, por ejemplo, cuando el usuario además de un iPhone, vincula su cuenta en un ordenador MacOS, se procesan cuando el sistema detecta que proceden de una fuente legítima.
Se trata de una comprobación que hace el sistema, que en el caso de la vulnerabilidad, queda incompleta, lo que abre la puerta a que un ciberatacante envíe un mensaje malicioso con el que engaña aWhatsApp para que lo procede, incluso si procede de una url no autorizada.
Según detalla Meta en el blog de WhatsApp, esta vulnerabilidad podría haber sido explotada en combinación con otro fallo de seguridad identificado en las plataformas de Apple a nivel de sistema operativo (CVE-2025-43300).
La campaña ha atacado a los objetivos en los últimos 90 días para distribuir un programa espía, principalmente a personas de la sociedad civil, bajo una modalidad de clic cero, es decir, que no requiere que la víctima haga nada para que su equipo acabe infectado.
