Revelan vulnerabilidad de WhatsApp en equipos Apple: Un ataque sin necesidad de clic

Investigadores revelaron una vulnerabilidad “0-click” en WhatsApp que afecta iPhone, iPad y Mac. Los hackers pueden tomar control de dispositivos Apple con solo recibir una imagen manipulada.

Por Redacción | 2 Octubre, 2025

Tecnología

Revelan vulnerabilidad de WhatsApp en equipos Apple: Un ataque sin necesidad de clic

Investigadores de DARKNAVY descubrieron una peligrosa vulnerabilidad del tipo “0-click” RCE (Remote Code Execution) en WhatsApp que pone en riesgo a los dispositivos de Apple. El hallazgo revela que los iPhone, iPad y Mac pueden ser controlados de manera remota por hackers con solo recibir una imagen manipulada en formato DNG, sin que el usuario tenga que abrirla ni hacer clic.

Las fallas críticas identificadas fueron registradas como CVE-2025-55177 y CVE-2025-43300. Ambas permiten que un atacante ejecute código malicioso al enviar una imagen disfrazada como proveniente de un contacto confiable.

¿Qué es una vulnerabilidad “0-click”?

A diferencia de otros ataques cibernéticos, el “0-click” no requiere ninguna interacción por parte del usuario. Basta con recibir el archivo en WhatsApp para que la vulnerabilidad se active y el hacker obtenga acceso completo al dispositivo.

Los especialistas detallaron que el error radica en la forma en que WhatsApp valida ciertos mensajes. Esto abre la puerta a que los atacantes tomen el control sin dejar rastros visibles.

We triggered WhatsApp 0-click on iOS/macOS/iPadOS.
CVE-2025-55177 arises from missing validation that the [Redacted] message originates from a linked device, enabling specially crafted DNG parsing that triggers CVE-2025-43300.
Analysis of Samsung CVE-2025-21043 is also ongoing. pic.twitter.com/idwZXqh5WK
— DARKNAVY (@DarkNavyOrg) September 28, 2025

Dominios identificados en los ataques

Hasta ahora, se han detectado varios dominios asociados con la propagación de imágenes DNG maliciosas:

zapgrande.com
sorvetenopote.com
expansiveuser.com
whatsappenrolling.com
whatsappu.com
whatsappenerp.com
onlywhatsapps.com
hats-whatsapp.com
n8nwhatsapp.org
lie-whatsapp.com
whatsappez.cc
whatsappbrasil.com
whatsapp-labs.com
wap-whatsap.com
w9d-whatsapp.net

Riesgos para los usuarios

Si la vulnerabilidad es explotada, los atacantes pueden:

Tomar control total del dispositivo.
Acceder a archivos, fotos y mensajes.
Espiar llamadas y conversaciones.
Instalar malware sin que el usuario lo note.

Lo más preocupante es que todo ocurre en segundo plano, sin señales visibles para la víctima.

Dispositivos afectados

De acuerdo con los investigadores, la amenaza afecta a todos los equipos Apple que tengan WhatsApp instalado y activo:

iPhone (iOS)
iPad (iPadOS)
Mac (macOS)

No importa si el mensaje no se abre, la vulnerabilidad se activa con solo recibir la imagen.

¿Cómo protegerse?

Los expertos en ciberseguridad de Rewterz recomiendan:

Actualizar WhatsApp y el sistema operativo en cuanto haya nuevas versiones.
Desactivar la descarga automática de archivos.
No abrir imágenes enviadas por números desconocidos.
Limitar permisos de la app (cámara, micrófono, archivos).
Cerrar sesiones de WhatsApp Web que no uses.
Activar la verificación en dos pasos.
Monitorear señales extrañas como consumo excesivo de batería o lentitud repentina.

¿Existe ya un parche de seguridad?

Por ahora no hay una solución oficial. WhatsApp y Apple trabajan en una actualización que corrija la vulnerabilidad. Mientras tanto, las buenas prácticas digitales son la única forma de reducir el riesgo.

Los investigadores de DARKNAVY también analizan si esta técnica podría afectar a dispositivos con Android, incluidos modelos de Samsung.

*OCR