WhatsApp ha confirmado la corrección de una vulnerabilidad de seguridad en sus aplicaciones para iOS y Mac, utilizada para infiltrarse sigilosamente en los dispositivos Apple de usuarios “específicamente seleccionados”. Esta falla, identificada como CVE-2025-55177, se aprovechó de una segunda debilidad relacionada en iOS y Macs, también reparada recientemente por Apple y registrada como CVE-2025-43300.
La compañía de tecnología Meta comunicó en su asesoría de seguridad que la explotación de esta vulnerabilidad involucró un ataque extremadamente sofisticado, enfocado en un número reducido de usuarios, como señaló Apple. Expertos en seguridad, como Donncha Ó Cearbhaill de Amnesty International, describieron el ataque como parte de una “campaña de spyware avanzada,” que ha estado activa desde finales de mayo y que no requiere interacción del usuario, un método conocido como ataque “zero-click”.
La combinación de las dos vulnerabilidades permitía a los atacantes enviar un exploit malicioso a través de WhatsApp, que podía robar datos de los dispositivos Apple de las víctimas. Según Ó Cearbhaill, este ataque podía comprometer el dispositivo y acceder a datos sensibles, incluyendo mensajes. Sin embargo, no está claro quién se encuentra detrás de estos ataques ni qué proveedor de spyware estuvo implicado.
Desde Meta, se confirmó que el fallo fue detectado y corregido hace unas pocas semanas y que se notificó a “menos de 200” usuarios afectados. La empresa no pudo proporcionar detalles sobre la atribución a un atacante específico o a un proveedor de vigilancia.
No es la primera vez que los usuarios de WhatsApp se convierten en el blanco de campañas de espionaje gubernamental, utilizando software malicioso capaz de penetrar en dispositivos bien protegidos mediante vulnerabilidades no reveladas por los fabricantes, conocidas como fallos de día cero.
Recientemente, un tribunal estadounidense ordenó al fabricante de spyware NSO Group el pago de 167 millones de dólares a WhatsApp por una campaña de hacking en 2019 que comprometió a más de 1,400 usuarios mediante un exploit destinado a introducir el spyware Pegasus. WhatsApp tomó acciones legales contra NSO, alegando violaciones a la ley de hacking y a sus propias condiciones de servicio.
En mayo, WhatsApp interrumpió otra campaña de spyware que apuntaba a aproximadamente 90 usuarios, incluyendo periodistas y miembros de la sociedad civil en Italia. Aunque el gobierno italiano negó su participación en la campaña de espionaje, se reveló que la empresa de spyware involucrada, Paragon, cortó sus vínculos con Italia por no investigar el uso indebido de sus herramientas.
Este incidente destaca una creciente preocupación por la seguridad en las comunicaciones digitales, subrayando la necesidad de que los usuarios permanezcan informados sobre las amenazas y vulnerabilidades a las que pueden estar expuestos en el ecosistema digital. Cualquier usuario que haya recibido una notificación de compromiso de su dispositivo debería considerarse en estado de alerta y evaluar las medidas de seguridad de sus comunicaciones.
Gracias por leer Columna Digital, puedes seguirnos en Facebook, Twitter, Instagram o visitar nuestra página oficial. No olvides comentar sobre este articulo directamente en la parte inferior de esta página, tu comentario es muy importante para nuestra área de redacción y nuestros lectores.
