WhatsApp ha publicado actualizaciones para iOS y macOS que corrigen CVE‑2025‑55177, una vulnerabilidad 0‑day explotada en ataques dirigidos. El fallo, con CVSS 8.0, afectaba el proceso de sincronización de dispositivos vinculados y podía forzar la procesación de contenido desde URLs arbitrarias en el dispositivo de la víctima. La compañía insta a actualizar de inmediato la app desde App Store y Mac App Store y a mantener el sistema operativo al día.
Vulnerabilidad en sincronización de dispositivos vinculados: qué se corrigió
Según WhatsApp, el problema residía en una autorización insuficiente de mensajes de sincronización entre dispositivos, lo que permitía a un atacante manipular la app para que interpretara contenido remoto sin validaciones adecuadas. Este vector acostumbra a emplearse como eslabón inicial en cadenas de explotación, habilitando descargas o parseo forzado de contenido malicioso que prepara fases posteriores del ataque.
Posible cadena con Apple Image I/O (CVE‑2025‑43300) y ataques zero‑click
WhatsApp apunta a una probable vinculación con la 0‑day de Apple CVE‑2025‑43300 en Image I/O, un framework del sistema operativo que gestiona la lectura y escritura de imágenes. Apple indicó que se trataba de un zero‑click explotado en la práctica y lanzó el parche a mediados de agosto de 2025. En una cadena plausible, CVE‑2025‑55177 forzaría la carga de un recurso remoto mientras que la vulnerabilidad de Image I/O permitiría la ejecución de código sin interacción al analizar una imagen especialmente diseñada.
Este patrón no es nuevo: en 2023, la campaña BLASTPASS explotó CVE‑2023‑41064 en Image I/O para comprometer dispositivos Apple. El atractivo de estos parsers reside en que operan en el “perímetro invisible” de la experiencia de usuario (previsualizaciones, decodificadores y bibliotecas del sistema), ofreciendo a los adversarios alta fiabilidad y bajo ruido.
Alcance de la campaña y avisos a posibles víctimas
De acuerdo con Amnesty International, WhatsApp notificó a unas 200 personas que podrían haber sido objetivo de una campaña de ciberespionaje durante los últimos 90 días mediante el uso de CVE‑2025‑55177. En las notificaciones se recomienda realizar un reseteo a valores de fábrica y mantener el sistema y la aplicación completamente actualizados. No se han atribuido públicamente los ataques.
Riesgos y medidas de mitigación para iOS y macOS
Las 0‑day con superficie en mensajería y parsers del sistema representan un riesgo elevado para periodistas, defensores de derechos humanos, figuras públicas y sectores críticos. Medidas recomendadas:
– Actualiza iOS/iPadOS/macOS y WhatsApp a la última versión; activa las autoactualizaciones.
– Revisa los dispositivos vinculados en WhatsApp y elimina cualquier sesión desconocida.
– Si recibes un aviso de WhatsApp o detectas comportamientos anómalos, realiza copia de seguridad y ejecuta un restablecimiento de fábrica con posterior restauración.
– Para perfiles de alto riesgo, considera el Modo Aislamiento (Lockdown Mode) en iOS y macOS para reducir la superficie de ataque.
– En organizaciones, aplica políticas MDM de actualización obligatoria, supervisa eventos de seguridad en dispositivos Apple y refuerza la formación en higiene digital.
Por qué estas cadenas son efectivas y cómo reducir la exposición
La combinación de una vulnerabilidad de aplicación (sincronización en WhatsApp) y otra de sistema (Image I/O) permite pasar de la entrega de contenido a la ejecución sin clics del usuario. Minimizar los dispositivos de confianza, aplicar el principio de mínimo privilegio y parchear con rapidez son defensas clave para romper la cadena de ataque.
La situación en torno a CVE‑2025‑55177 y CVE‑2025‑43300 confirma una tendencia: los adversarios combinan fallos en capas distintas para lograr compromisos silenciosos. Actualiza ya WhatsApp y tu sistema, limita los dispositivos vinculados y revisa tu postura de seguridad con políticas estrictas y formación continua. Una respuesta temprana y disciplinada es la mejor manera de reducir la probabilidad y el impacto de estos ataques.
