WhatsApp advierte de un ataque de espionaje que afecta a usuarios de iPhone y Android con solo recibir un archivo

WhatsApp ha emitido una advertencia global tras descubrir una campaña de espionaje que utilizó una cadena de vulnerabilidades para infiltrarse en los dispositivos de sus usuarios sin que se hiciera clic en algún enlace y solo recibiendo un archivo en un chat.

El alcance de este incidente, que apunta a perfiles sensibles, ya fue controlado por Meta, pero de igual forma es fundamental entender cómo funciona para evitar caer en situaciones similares que van tras nuestros datos personales.

Cuál es el ataque detectado por WhatsApp

La alerta se activó cuando el equipo de seguridad de WhatsApp detectó lo que describen como una campaña avanzada de ciberespionaje. Los especialistas de la empresa, propiedad de Meta, identificaron una vulnerabilidad marcada como CVE-2025-55177 en versiones anteriores de WhatsApp para iOS, en WhatsApp Business para iOS y en WhatsApp para Mac.

Este fallo permitía la sincronización incompleta de mensajes en dispositivos vinculados, lo cual, en combinación con otra vulnerabilidad del sistema operativo de Apple (CVE-2025-43300), abría la posibilidad para que un actor malicioso procesara contenido desde una URL arbitraria en un dispositivo ajeno.

De acuerdo con el comunicado oficial ofrecido por la compañía, estos agujeros de seguridad se utilizaron como una cadena: los atacantes primero explotaban la debilidad en WhatsApp para luego aprovechar, a través de ella, el segundo fallo en los dispositivos Apple, permitiéndoles secuestrar terminales enteros sin interacción del usuario.

El método ha sido categorizado como un ataque “zero click”, pues permitía implantar software espía en los dispositivos simplemente con el envío y la recepción de un archivo manipulado, sin que el usuario necesitara interactuar o siquiera abrir el contenido malicioso. En términos simples, bastaba con que el terminal recibiera el archivo para quedar comprometido.

Qué usuarios fueron afectados por este ataque en WhatsApp

Aunque el número de víctimas ha sido bajo, con menos de 200 usuarios notificados a nivel global en los últimos tres meses, la naturaleza del ataque y el perfil de los afectados han generado disturbio en cuanto a la privacidad y seguridad digital.

Según Donncha Ó Cearbhaill, director del Laboratorio de Seguridad de Amnistía Internacional, entre los impactados se cuentan muchos miembros de la sociedad civil y activistas. Su organización ya recolecta datos forenses y confirma que asisten a varios individuos tras recibir notificaciones de posible exposición a este ataque.

La investigación realizada por Amnistía Internacional ha demostrado que la campaña de espionaje no solo está circunscrita a usuarios de iPhone, sino que también ha conseguido afectar a aquellos con dispositivos Android.

Esta observación amplía la dimensión de la amenaza, pues sugiere la posible explotación de vulnerabilidades similares en el sistema operativo de Google. Además, la advertencia de que “otras aplicaciones más allá de WhatsApp también podrían haber sido afectadas” podría representarse como una operación de espionaje a gran escala.

Qué es un ataque “zero click”

Uno de los elementos más alarmantes de este episodio radica en el tipo de exploit aprovechado: la vulnerabilidad “zero click”, en la que el dispositivo solo debía recibir un archivo de imagen alterado para iniciar el ataque.

Esta combinación con el bug de WhatsApp propiciaba la puerta de entrada perfecta para los ciberdelincuentes, quienes lograban plantar software espía en el sistema sin que la víctima notara ninguna acción sospechosa.

Este tipo de ataques han sido documentados en diversas ocasiones a lo largo de los últimos años, usualmente dirigidos a periodistas, activistas y funcionarios gubernamentales. Varias veces se vincularon tales técnicas con empresas de software espía.

A diferencia del phishing tradicional, el “zero click” elimina la necesidad de engañar al usuario mediante mensajes trampa, multiplicando el riesgo para quienes tienen un perfil expuesto.

La preocupación se acrecienta si se considera que estas campañas suelen estar dirigidas y patrocinadas por actores estatales, lo que convierte este incidente en un nuevo capítulo de la llamada “guerra silenciosa” en la esfera digital, donde los teléfonos inteligentes se transforman, sin previo aviso, en ventanas de vigilancia.