WhatsApp parchea vulnerabilidad crítica (CVE‑2025‑55177) explotada durante tres meses en ataques de spyware

CVE‑2025‑55177 fue clasificada por WhatsApp como un fallo de autorización incompleta entre dispositivos vinculados, que podría haber permitido que un atacante envíe contenido desde una URL arbitraria al dispositivo de la víctima sin interacción por parte del usuario.
Este fallo fue explotado en combinación con una vulnerabilidad del sistema operativo de Apple (CVE‑2025‑43300), relacionada con un problema en el framework ImageIO que permite corrupción de memoria al procesar imágenes maliciosas.

Descubrimiento y actualización de seguridad

WhatsApp lanzó actualizaciones de emergencia:

• WhatsApp para iOS antes de la versión 2.25.21.73 (parche aplicada el 28 de julio de 2025)

• WhatsApp Business para iOS versión 2.25.21.78 (parche el 4 de agosto de 2025)

• WhatsApp para Mac versión 2.25.21.78 (parche el 4 de agosto de 2025) .

Explotación dirigida y campaña de espionaje

Se cree que esta vulnerabilidad fue utilizada en una campaña dirigida contra usuarios específicos durante aproximadamente tres meses, según informó WhatsApp, aunque no se han detallado los perfiles de los afectados ni quién podría estar detrás de los ataques .
Donncha Ó Cearbhaill, del Security Lab de Amnesty International, la describió como un “ataque avanzado de spyware” dirigido a individuos de la sociedad civil, que no requería ninguna interacción del usuario (“zero-click”) y que comprometió dispositivos iPhone y Android .

Notificaciones y recomendaciones

WhatsApp notificó a menos de 200 usuarios que podrían haber sido blanco de la campaña .
La empresa recomendó a quienes recibieron notificación realizar un restablecimiento completo de fábrica en sus dispositivos y asegurarse de tener actualizado tanto el sistema operativo como la aplicación de WhatsApp .