WhatsApp ha corregido una vulnerabilidad que ha podido facilitar la ejecución de ataques sofisticados contra usuarios individuales de la aplicación en las plataformas de Apple, aprovechando un fallo en la verificación de mensajes en dispositivos vinculados para distribuir un ‘spyware’.
El equipo de Seguridad de WhatsApp ha identificado una vulnerabilidad en las aplicaciones para iOS y MacOS, que se ha recogido como CVE-2025-55177 y que provoca una «autorización incompleta de los mensajes de sincronización de dispositivos vinculados».
Los mensajes entre dispositivos vinculados, por ejemplo, cuando el usuario además de un iPhone, vincula su cuenta en un ordenador MacOS, se procesan cuando el sistema detecta que un fuente legítima.
Se trata de una comprobación que hace el sistema, que en el caso de la vulnerabilidad, queda incompleta, lo que abre la puerta a que un ciberatacante envíe un mensaje malicioso con el que engaña aWhatsApp para que lo procede, incluso si procede de una url no autorizada.
Según detalla Meta en el blog de WhatsApp, esta vulnerabilidad podría haber sido explotada en combinación con otro fallo de seguridad identificado en las plataformas de Apple a nivel de sistema operativo (CVE-2025-43300).
En concreto, se habría explotado en un ataque sofisticado dirigido contra usuarios individuales, dentro de una campaña de espionaje, como ha señalado el responsable del Security Lab de Amnistía Internacional, Donncha Ó Cearbhaill, en su perfil en X.
La campaña ha atacado a los objetivos en los últimos 90 días para distribuir un programa espía, principalmente a personas de la sociedad civil, bajo una modalidad de clic cero, es decir, que no requiere que la víctima haga nada para que su equipo acabe infectado.
