WhatsApp ha anunciado que ha abordado una vulnerabilidad de seguridad crucial en sus aplicaciones iOS y Mac, que se utilizó para infiltrarse aún en los dispositivos de ciertos usuarios específicos. Esta vulnerabilidad, denominada CVE-2025-55177, resultó funcionar en combinación con otro error en los sistemas operativos de Apple, seguido como CVE-2025-43300, que Apple parchó recientemente.
Según un consejo de seguridad publicado por WhatsApp, el error identificado fue parte de un «ataque extremadamente avanzado» dirigido a personas específicas, como lo confirma Apple. Informes recientes indican que docenas de usuarios de WhatsApp se convirtieron en víctimas de esta combinación de vulnerabilidades.
Donncha ó Cearbhaill, quien dirige el Laboratorio de Seguridad Internacional de Amnistía, caracterizó el incidente como una «campaña de spyware avanzada» que ha estado sucediendo en los últimos tres meses y señala la naturaleza del ataque Nulkik. Esto significa que los dispositivos de exploit malignos pueden comprometerse sin ninguna acción de las víctimas, como hacer clic en un enlace.
Las vulnerabilidades dobles permitieron a los atacantes enviar exploits dañinos a través de WhatsApp, que puede extraer datos confidenciales de los dispositivos Apple de los usuarios. Ó Cearbhaill compartió un informe de WhatsApp enviado a los usuarios afectados, lo que enfatiza el potencial para que el ataque obtenga acceso a información personal, incluidos los mensajes.
De ahora en adelante, no está claro quién es responsable de estos ataques, o qué compañía de spyware puede participar en estas actividades. Un portavoz de Meta, la empresa matriz de WhatsApp, confirmó a TechCrunch que la vulnerabilidad fue detectada y resuelta hace unas semanas. La compañía también indicó que se enviaron menos de 200 informes a los usuarios de WhatsApp que fueron afectados. Sin embargo, el portavoz no ha proporcionado ninguna información sobre sospechosos específicos o proveedores de vigilancia conectados a los hacks.
Este evento reciente no es un incidente aislado; Los usuarios de WhatsApp han sido previamente objeto del gobierno respaldado por el gobierno que usa vulnerabilidades no conocidas, conocidas como errores de día cero. En un caso notable a principios de este año, un tribunal estadounidense dictaminó que NSO Group, un fabricante de spyware, tuvo que pagar WhatsApp $ 167 millones por una campaña de piratería que alcanzó a más de 1,400 usuarios al implementar su notorio spyware de Pegasus. WhatsApp inició los pasos legales contra la NSO en función de las violaciones de las leyes de piratería federales y estatales y sus propias condiciones de servicio.
En otro incidente hablador a principios de este año, WhatsApp retomó una operación de spyware que se centró en 90 individuos, incluidos periodistas y miembros de la sociedad civil en Italia. Después del escándalo, el gobierno italiano negó la participación, mientras que la compañía de spyware, Paragon, detuvo sus herramientas de hack en Italia debido a la falta de investigación sobre los abusos.
Para aquellos que han recibido notificaciones sobre el compromiso de sus dispositivos, se les alienta a contactarnos de manera segura para informar sus experiencias.
