WhatsApp, un exploit “0-click” y el peligro que llegó por una imagen: Mictlán Security
¿Por qué esto es tan alarmante?
-
Zero-click = no necesitas abrir nada. Con solo enviar el mensaje malicioso (por ejemplo, un archivo DNG especialmente manipulado) el exploit puede activarse en el dispositivo objetivo sin que la víctima haga clic, lea o descargue manualmente nada. Esto reduce a casi cero las barreras de ingeniería social y lo convierte en una herramienta ideal para ataques dirigidos contra personas de alto riesgo.
-
Cadena de fallos multiplataforma. El vector original explota una autorización incompleta en la sincronización de dispositivos vinculados de WhatsApp para forzar al cliente a procesar una URL arbitraria; esa llamada a recursos es la que entrega el archivo malicioso que, por un defecto en el sistema de procesamiento de imágenes de Apple, permite ejecución de código. Es la clásica «cadena»: una debilidad en la app + una debilidad en el sistema operativo = RCE.
-
Campaña dirigida y selectiva. Las notificaciones de Meta y reportes periodísticos coinciden en que el ataque fue dirigido y aterrizó en un número muy reducido de víctimas (menos de 200 notificaciones reportadas por Meta), lo que sugiere espionaje selectivo en lugar de un ataque masivo. Eso eleva la hipótesis de uso por actores con recursos (p. ej. grupos de spyware comerciales o estados).
Lo técnico — cómo funcionó (versión condensada)
-
Paso 1: Un atacante envía a la víctima un mensaje de sincronización o contenido manipulado que WhatsApp procesaría como una petición legítima para recuperar un recurso desde una URL controlada por el atacante (fallo en autorización de linked device sync — CVE-2025-55177).
-
Paso 2: Ese recurso entregado es un archivo DNG especialmente formado que, al ser procesado por el subsistema de imágenes del sistema (ImageIO u otro componente), dispara un fallo de memoria/validación (CVE-2025-43300) permitiendo ejecución de código a nivel del sistema.
-
Resultado: ejecución remota de código con privilegios suficientes para plantar spyware/puertas traseras y exfiltrar datos (mensajes, contactos, micrófono, etc.), todo sin interacción de la víctima.
Versiones afectadas y parches (qué actualizar ya)
-
WhatsApp para iOS anterior a v2.25.21.73, WhatsApp Business para iOS anterior a v2.25.21.78, y WhatsApp para Mac anterior a v2.25.21.78 estaban entre las versiones vulnerables. Meta publicó un advisory y lanzó actualizaciones para corregir la autorización de sincronización.
-
Apple distribuyó parches para las plataformas iOS, iPadOS y macOS que mitigaron la vulnerabilidad de procesamiento de imágenes (CVE-2025-43300). Actualizar el sistema operativo es tan crítico como actualizar la app.
Recomendaciones prácticas (para usuarios y administradores)
Para todos
-
Actualiza WHATSAPP a la última versión inmediata y activa actualizaciones automáticas.
-
Actualiza iOS / iPadOS / macOS a las versiones parcheadas publicadas por Apple.
Para usuarios de alto riesgo (activistas, periodistas, dirigentes)
-
Considera restaurar desde cero (factory reset) si WhatsApp o Meta te notificaron que fuiste afectado; esa ha sido la recomendación en los incidentes más severos.
-
Activa Lockdown Mode (iOS) o medidas de protección avanzada cuando la plataforma lo ofrezca. Revisa dispositivos vinculados y sesiones activas en WhatsApp y desconecta las que no reconozcas.
Para equipos de seguridad / SOC
-
Monitorea indicadores de compromiso (descargas inusuales desde URLs externas referenciadas por WhatsApp sync), picos en procesos que manejan ImageIO o procesos que abran sockets inusuales tras recepción de mensajes con medios.
-
Prioriza parches de clientes de mensajería y sistemas operativos en inventario de Apple; clasifica esto como alta prioridad en tu plan de respuesta a vulnerabilidades.
Comentarios
Publicar un comentario