La falla (CVE-2025-55177) fue aprovechada junto a un error de iOS/macOS en presuntos ataques de espionaje digital

Una vulnerabilidad identificada como CVE-2025-55177 (con una puntuación CVSS de 5.4) fue utilizada en ataques dirigidos que buscaban instalar spyware en dispositivos Apple. El fallo se describe como una “autorización incompleta de los mensajes de sincronización en dispositivos vinculados”, lo que habría permitido a un atacante activar el procesamiento de contenido desde direcciones URL arbitrarias en los equipos de las víctimas, según explicó WhatsApp en un comunicado.

La plataforma señaló que esta vulnerabilidad, combinada con otra falla a nivel de sistema operativo en iOS y macOS (CVE-2025-43300), pudo haber sido explotada en ataques sofisticados contra usuarios específicos.

El error de Apple, corregido el 20 de agosto, correspondía a un problema de escritura fuera de límites en el marco ImageIO, que afecta a iOS, iPadOS y macOS. La compañía lanzó actualizaciones de seguridad en iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 y macOS Ventura 13.7.8. Aunque no compartió detalles técnicos, advirtió que la vulnerabilidad estaba siendo explotada activamente.

“Apple tiene conocimiento de informes que indican que este problema pudo haber sido aprovechado en ataques extremadamente sofisticados contra personas específicas”, señaló la empresa.

WhatsApp, por su parte, lanzó parches en julio y agosto para corregir CVE-2025-55177 en las versiones 2.25.21.73 de WhatsApp para iOS, 2.25.21.78 de WhatsApp Business y 2.25.21.78 de WhatsApp para Mac. Tampoco ofreció información detallada sobre los ataques, aunque se confirmó que menos de 200 personas recibieron notificaciones por parte de la compañía tras haber sido potencialmente blanco de la campaña.

Según Donncha Ó Cearbhaill, de Amnistía Internacional, las vulnerabilidades fueron encadenadas en ataques de “cero clic”, lo que las convierte en parte de una presunta operación de spyware contra miembros de la sociedad civil. “Los primeros indicios muestran que el ataque está afectando tanto a usuarios de iPhone como de Android, incluyendo a periodistas y defensores de derechos humanos”, indicó en su cuenta de X. También advirtió que, dado que la falla de Apple afecta a una biblioteca principal de imágenes, otros programas podrían haber sido utilizados como vía de ataque.

Expertos en seguridad subrayan que la enorme popularidad de WhatsApp y de los dispositivos Apple, especialmente entre altos ejecutivos y figuras públicas, los convierte en blancos prioritarios para campañas de espionaje digital.

Finalmente, el 2 de septiembre, la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) agregó CVE-2025-55177 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias federales aplicar los parches correspondientes antes del 23 de septiembre.