La cuenta de X @The_Cyber_News publicó un informe alarmante que ha captado la atención de expertos en ciberseguridad y usuarios de WhatsApp en todo el mundo.
El post, detalla una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) de “cero clic” en WhatsApp, explotada mediante el uso de un archivo de imagen DNG maliciosamente diseñado.
Esta amenaza afecta a las plataformas de Apple, incluyendo iOS, macOS e iPadOS, y pone en riesgo la seguridad de millones de usuarios. A continuación, se presenta un análisis exhaustivo de esta vulnerabilidad, sus implicaciones, el contexto técnico y las recomendaciones para mitigar el riesgo, todo ello con un enfoque detallado y educativo. Contexto de la Vulnerabilidad, descrita en el post de Cyber Security News, se basa en una cadena de ataque que aprovecha dos fallos de seguridad específicos, identificados como CVE-2025-55177 y CVE-2025-43300.
Estos códigos de vulnerabilidad, registrados en la base de datos nacional de vulnerabilidades (NVD), indican que se trata de problemas críticos que permiten a los atacantes comprometer un dispositivo sin que el usuario realice ninguna acción, como hacer clic en un enlace o abrir un archivo manualmente. Este tipo de ataque, conocido como “zero-click”, es particularmente peligroso porque elimina la necesidad de interacción humana, convirtiéndolo en una herramienta ideal para campañas de espionaje o malware masivo .El exploit fue demostrado en un proof-of-concept (PoC) compartido por los investigadores de DarkNavyOrg, quienes descubrieron que el ataque se inicia enviando un archivo DNG (Digital Negative, un formato de imagen sin procesar) manipulado a la cuenta de WhatsApp de la víctima.
Una vez recibido, el archivo desencadena automáticamente la ejecución de código malicioso, explotando las debilidades en el procesamiento de mensajes y la biblioteca de análisis de DNG de WhatsApp. Detalles Técnicos del Ataque .
La cadena de explotación se divide en dos etapas principales, cada una asociada con una de las vulnerabilidades identificadas:
CVE-2025-55177: Falla de Validación en el Manejo de Mensajes
Según el informe de DarkNavyOrg, esta vulnerabilidad surge de una omisión crítica en la validación de mensajes entrantes. WhatsApp no verifica adecuadamente si un mensaje proviene de un dispositivo vinculado legítimo, lo que permite a un atacante falsificar el origen del mensaje.
Esta brecha permite que un archivo DNG malicioso pase los controles iniciales de seguridad y sea procesado por la aplicación.
CVE-2025-43300: Corrupción de Memoria en el Análisis de DNG
Una vez que el archivo DNG es aceptado, la segunda vulnerabilidad entra en juego. Esta falla reside en la biblioteca de análisis de archivos DNG de WhatsApp, que no maneja correctamente los datos corruptos. Al procesar el archivo manipulado, se produce un error de corrupción de memoria que permite a los atacantes ejecutar código arbitrario en el dispositivo de la víctima, otorgándoles control completo sobre el sistema.
El PoC compartido por los investigadores incluye un script que automatiza el proceso: inicia sesión en una cuenta de WhatsApp, genera el archivo DNG malicioso y lo envía al número de teléfono objetivo. Esta sofisticación técnica resalta la gravedad de la amenaza y su potencial para ser utilizada en ataques dirigidos. Implicaciones de Seguridad la naturaleza “zero-click” de este ataque lo hace excepcionalmente peligroso. A diferencia de las amenazas tradicionales que requieren que el usuario interactúe con un enlace sospechoso, esta vulnerabilidad se activa simplemente al recibir un mensaje. Esto significa que incluso usuarios conscientes de las prácticas de seguridad básica podrían ser víctimas si su dispositivo no está actualizado.
Las implicaciones incluyen:
*Compromiso Total del Dispositivo: Un atacante exitoso podría acceder a datos sensibles, como mensajes, fotos, contactos y credenciales almacenadas, además de instalar malware adicional.
*Espionaje Silencioso: La falta de indicadores visibles hace que el ataque sea ideal para operaciones de vigilancia, como las llevadas a cabo por actores estatales con herramientas como Pegasus.
*Riesgo para Plataformas Cruzadas: Al afectar iOS, macOS e iPadOS, la vulnerabilidad expone a una amplia gama de usuarios de Apple, un ecosistema que tradicionalmente se considera más seguro que otros.
Este descubrimiento se suma a una tendencia alarmante de ataques contra aplicaciones de mensajería. Según un informe de la Internet Society de 2024, los incidentes de spyware contra estas plataformas aumentaron un 30% a nivel mundial, con un enfoque particular en vulnerabilidades de “cero clic”. Además, el uso de formatos de archivo como DNG refleja una evolución en las técnicas de explotación, con un estudio del SANS Institute de 2025 que señala un incremento del 15% en ataques basados en formatos de archivo debido a su capacidad para evadir software antivirus tradicional.
Este caso no es aislado. En 2023, el escándalo de Pegasus reveló cómo gobiernos explotaron fallos similares en WhatsApp para espiar a activistas y periodistas, un recordatorio de que las vulnerabilidades de “cero clic” son un arma preferida en el arsenal de la ciberinteligencia. La participación de DarkNavyOrg, un grupo de investigadores independientes, también subraya el creciente papel de la comunidad de seguridad en la identificación de amenazas. Este fenómeno ganó prominencia tras el descubrimiento de la vulnerabilidad Log4j en 2021, que afectó a millones de dispositivos y destacó la importancia de la investigación independiente.
Por otro lado, el enfoque en las plataformas de Apple refleja desafíos persistentes en la seguridad de los ecosistemas multiplataforma.
En 2024, Apple lanzó una actualización que corrigió más de 30 vulnerabilidades en una sola versión, lo que indica la presión constante sobre los fabricantes para mantenerse al día con las amenazas emergentes. Recomendaciones para los Usuarios Ante esta vulnerabilidad, los usuarios de WhatsApp pueden tomar medidas inmediatas para protegerse:
Actualizaciones Constantes: Tanto WhatsApp como los sistemas operativos (iOS, macOS, iPadOS) deben mantenerse actualizados con los últimos parches de seguridad. WhatsApp y Apple ya están trabajando en soluciones, y se espera que las actualizaciones estén disponibles pronto.
Vigilancia de Mensajes: Aunque el ataque es “zero-click”, los usuarios deben estar atentos a mensajes inusuales y reportarlos a WhatsApp.
Copia de Seguridad Segura: Realizar copias de seguridad encriptadas de los datos importantes puede mitigar las pérdidas en caso de un compromiso.
Uso de Dispositivos Dedicados: Para usuarios de alto riesgo (periodistas, activistas), considerar el uso de dispositivos separados para comunicaciones sensibles.
Respuesta de la Industria WhatsApp, propiedad de Meta, y Apple han sido notificados sobre estas vulnerabilidades y se espera que lancen parches en las próximas actualizaciones. La coordinación entre empresas y organismos como el NVD es crucial para asignar códigos CVE y priorizar la mitigación. Además, la comunidad de ciberseguridad está monitoreando de cerca las investigaciones adicionales de DarkNavyOrg, que también exploran una vulnerabilidad relacionada en dispositivos Samsung (CVE-2025-21043), lo que sugiere que el alcance del problema podría extenderse más allá de las plataformas de Apple.