WhatsApp corrige el 'bug de cero clic' utilizado para hackear a usuarios de Apple con spyware.
Créditos de la imagen: Bryce Durbin/TechCrunch
WhatsApp dijo el viernes que había arreglado un error de seguridad en sus aplicaciones para iOS y Mac que se estaba utilizando para hackear de manera encubierta los dispositivos de Apple de “usuarios específicos.”
El gigante de la mensajería propiedad de Meta dijo en su aviso de seguridad que había corregido la vulnerabilidad, conocida oficialmente como CVE-2025-55177, que se estaba utilizando junto con un fallo separado encontrado en iOS y Mac, que Apple corrigió la semana pasada y rastreado como CVE-2025-43300.
Apple dijo en ese momento que el fallo se estaba utilizando en un “ataque extremadamente sofisticado contra individuos específicos.” Ahora sabemos que decenas de usuarios de WhatsApp fueron objetivo de este par de fallos.
Donncha Ó Cearbhaill, quien dirige el Laboratorio de Seguridad de Amnistía Internacional, describió el ataque en un post en X como una “campaña de spyware avanzada” que ha estado dirigiéndose a usuarios durante los últimos 90 días, o desde finales de mayo. Ó Cearbhaill describió el par de errores como un “ataque sin clic”, lo que significa que no requiere ninguna interacción por parte de la víctima, como hacer clic en un enlace, para comprometer su dispositivo.
Los dos errores encadenados permiten a un atacante entregar un exploit malicioso a través de WhatsApp que es capaz de robar datos del dispositivo de Apple del usuario.
Según Ó Cearbhaill, quien publicó una copia de la notificación de amenaza que WhatsApp envió a los usuarios afectados, el ataque pudo “comprometer su dispositivo y los datos que contiene, incluyendo mensajes.”
No está claro inmediatamente quién, o qué proveedor de spyware, está detrás de los ataques.
Cuando TechCrunch contactó a Meta, la portavoz Margarita Franklin confirmó que la empresa había detectado y parcheado el fallo “hace unas semanas” y que había enviado “menos de 200” notificaciones a los usuarios de WhatsApp afectados.
La portavoz no dijo, cuando se le preguntó, si WhatsApp tiene pruebas para atribuir los hackeos a un atacante o proveedor de spyware específico.
Esto no es la primera vez que los usuarios de WhatsApp han sido objetivo de spyware gubernamental, un tipo de malware capaz de infiltrarse en dispositivos completamente parcheados con vulnerabilidades que no son conocidas por el proveedor, conocidas como fallos sin día.
En mayo, un tribunal estadounidense ordenó a el fabricante de spyware NSO Group pagar a WhatsApp $167 millones en daños por una campaña de hacking en 2019 que infiltró los dispositivos de más de 1,400 usuarios de WhatsApp con un exploit capaz de instalar el spyware Pegasus de NSO. WhatsApp presentó una demanda legal contra NSO, citando una violación de las leyes federales y estatales de hacking, así como sus propios términos de servicio.
Antes de esto, WhatsApp interrumpió una campaña de spyware que estaba dirigiéndose a alrededor de 90 usuarios, incluyendo periodistas y miembros de la sociedad civil en Italia. El gobierno italiano negó su implicación en la campaña de espionaje. Paragon, cuyo spyware se utilizó en la campaña, luego cortó sus contratos con el gobierno italiano por no investigar el abuso.