CVE-2025-55177: Vulnerabilidad en clientes de mensajería de WhatsApp iOS y macOS explotada en ataques sin interacción
A finales de agosto, Apple lanzó una actualización de emergencia para parchear CVE-2025-43300, un zero-day crítico de escritura fuera de límites en iOS, iPadOS y macOS. Pero la historia no termina allí. Investigadores de seguridad han descubierto ahora otro problema grave: una vulnerabilidad zero-day en WhatsApp para sus clientes de iOS y macOS. Este fallo, que WhatsApp ya ha parchado, fue explotado junto con el bug a nivel de sistema de Apple en una cadena de explotación sofisticada diseñada para entregar spyware en una campaña altamente dirigida.
Este último hallazgo pone de manifiesto una dependencia creciente de los actores de amenazas avanzadas en los exploits zero-day. Los atacantes cada vez más encadenan múltiples vulnerabilidades para evadir controles de seguridad y lograr comprometer dispositivos a gran escala. Durante los últimos cuatro años, el volumen de explotación de zero-days ha mostrado un aumento constante, con solo pequeñas fluctuaciones anuales. En 2024, el Threat Analysis Group de Google documentó 75 vulnerabilidades zero-day activamente explotadas en entornos reales, una señal clara de que el problema se está acelerando. Ahora, en 2025, los zero-days siguen siendo el método principal de compromiso inicial, representando aproximadamente un tercio de todos los intentos de intrusión.
Regístrate en SOC Prime Platform para acceder al mercado global de más de 600,000 reglas y consultas de detección creadas por ingenieros de detección, actualizadas diariamente y enriquecidas con inteligencia de amenazas para defender proactivamente contra amenazas existentes y emergentes. Todas las reglas se pueden utilizar en docenas de plataformas SIEM, EDR y Data Lake, y están alineadas con MITRE ATT&CK®. Además, cada regla incluye enlaces de CTI, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triage y metadatos adicionales.
Los ingenieros de seguridad pueden acceder instantáneamente a la amplia colección de reglas Sigma basadas en comportamiento bajo la etiqueta “CVE” haciendo clic en el botón Explorar Detecciones a continuación.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, un IDE y copiloto para ingeniería de detección, ahora mejorado con un nuevo modo de Chat Bot de IA y soporte para herramientas MCP. Con Uncoder, los defensores pueden convertir instantáneamente IOCs en consultas de caza personalizadas, crear código de detección a partir de reportes de amenazas en bruto, generar diagramas de flujo de ataque, habilitar predicción de etiquetas ATT&CK, optimizar consultas mediante IA y traducir contenido de detección entre múltiples plataformas.
Análisis de CVE-2025-55177
WhatsApp ha lanzado actualizaciones de seguridad para abordar un fallo recientemente divulgado, identificado como CVE-2025-55177, que ha sido activamente explotado en ataques dirigidos. La vulnerabilidad se origina por comprobaciones de autorización insuficientes en los mensajes de sincronización de dispositivos vinculados. La explotación permite que un atacante remoto obligue al dispositivo de la víctima a procesar contenido malicioso desde una URL arbitraria, sin necesidad de que la víctima realice ninguna acción.
Los investigadores de seguridad advierten que CVE-2025-55177 no se explotó de forma aislada. Fue encadenada con una vulnerabilidad a nivel de sistema de Apple (CVE-2025-43300) en una campaña sofisticada diseñada para desplegar spyware. WhatsApp confirmó que aproximadamente 200 personas fueron objetivo durante los últimos tres meses, representando una operación altamente selectiva y avanzada.
El aviso del proveedor indica que CVE-2025-55177 afecta a múltiples versiones de WhatsApp y WhatsApp Business, incluyendo WhatsApp para iOS anterior a v2.25.21.73, WhatsApp Business para iOS anterior a v2.25.21.78 y WhatsApp para Mac anterior a v2.25.21.78.
En las alertas enviadas a los usuarios afectados, WhatsApp recomendó medidas urgentes, incluyendo un restablecimiento completo de fábrica del dispositivo, junto con la actualización de la aplicación WhatsApp y del sistema operativo subyacente a sus versiones más recientes.
Los expertos en seguridad enfatizaron que esta cadena de explotación operó como un “ataque sin clic” (zero-click), una clase de exploit que no requiere interacción del usuario. Este tipo de ataques representa una de las formas más peligrosas de explotación, ya que pueden comprometer un dispositivo de manera silenciosa y persistente. Al aprovechar la suite completa de productos de SOC Prime respaldada por IA y la experiencia en ciberseguridad de primer nivel, los equipos de seguridad cuentan con tecnologías preparadas para el futuro que pueden mejorar significativamente la postura de ciberseguridad de la organización.
