Una reciente investigación en ciberseguridad reveló una vulnerabilidad crítica en WhatsApp que permite a los hackers tomar control de iPhones, iPads y computadoras Mac sin que el usuario realice ninguna acción.
El fallo, identificado por expertos de DARKNAVY como una “0-click” RCE (Remote Code Execution), afecta a todos los dispositivos de Apple donde la aplicación se encuentre activa y expone a millones de usuarios a riesgos sin precedentes en privacidad y seguridad.
Cuál es la vulnerabilidad que amenaza las cuentas de WhatsApp en Apple
La amenaza se activa mediante el envío de una imagen en formato DNG a través de WhatsApp. A diferencia de otros ataques, en este caso el usuario no necesita ni siquiera abrir la foto ni hacer clic en ningún elemento: basta con recibir el archivo para que el dispositivo quede vulnerable.
Los especialistas detallan que el ataque aprovecha dos fallas críticas, CVE-2025-55177 y CVE-2025-43300, que permiten la ejecución remota de código malicioso. De esta forma, los atacantes pueden acceder a mensajes, archivos, llamadas y, en casos más graves, instalar programas espía sin dejar rastros visibles.
Según la investigación, la cadena de ataque comienza cuando WhatsApp no valida adecuadamente los mensajes recibidos. Esto posibilita que una imagen maliciosa fingida como proveniente de un contacto confiable active otros errores internos, otorgando al hacker el control total del teléfono, tableta o computador.
Los reportes identifican varios dominios desde donde se estarían distribuyendo estos archivos DNG, como “zapgrande.com” y “whatsappenrolling.com”,entre otros.
Qué ocurre con la cuenta de WhatsApp al ser hackeada
Una vez que el atacante logra explotar la falla, obtiene la capacidad de leer y manipular mensajes, escuchar llamadas, acceder a archivos personales e incluso ingresar malware adicional, todo sin que la persona propietaria del dispositivo note ningún síntoma aparente. El funcionamiento sigiloso de este ataque complica su detección y amplía su peligrosidad.
Los dispositivos afectados abarcan toda la gama de productos Apple compatibles con WhatsApp: iPhone (iOS), iPad (iPadOS) y computadoras Mac (macOS). No importa si el receptor del archivo malicioso decide no abrir el mensaje; la amenaza se ejecuta automáticamente al recibir la imagen.
Recomendaciones para proteger el sistema iOS de malwares
Frente a este panorama, los expertos de equipos de ciberseguridad recomiendan una serie de medidas para minimizar el riesgo. Entre ellas, mantener tanto WhatsApp como el sistema operativo actualizados, desactivar la descarga automática de archivos en los ajustes de la aplicación, limitar los permisos de acceso de WhatsApp (como los de la cámara, el micrófono y los archivos), cerrar sesiones de WhatsApp Web no utilizadas y activar la autenticación en dos pasos.
También es fundamental monitorear cualquier comportamiento inusual del dispositivo, como una ralentización repentina o un consumo excesivo de batería.
Sorteos por WhatsApp, nueva modalidad de fraude
Junto a esta ola de ataques silenciosos, la expansión de fraudes digitales también ha llegado a WhatsApp por medio de concursos y sorteos ficticios. Empresas como Kaspersky han alertado sobre campañas de ingeniería social en las que los usuarios reciben invitaciones para participar en votaciones o sorteos ligados a eventos deportivos o personajes populares.
Mediante la simulación de sitios web legítimos, se induce a los internautas a compartir su número de teléfono y códigos de verificación, facilitando el secuestro de cuentas y el acceso a información personal o financiera.
En estos ataques, cuando la víctima introduce el código de seis dígitos enviado por WhatsApp al intentar votar o inscribirse en un sorteo, en realidad está entregando la llave de su cuenta a los atacantes, quienes pueden suplantar la identidad de la persona en su círculo, leer mensajes confidenciales y difundir nuevos ataques mediante contactos de confianza.
Para contrarrestar este tipo de fraudes, la autenticación en dos pasos se vuelve esencial. Además, ningún usuario debe compartir nunca códigos de WhatsApp, ni siquiera con páginas que parecen legítimas o contactos que insistan.
Revisar cuidadosamente la dirección web, utilizar software de protección actualizado y desconfiar de enlaces o premiaciones sospechosas reducen considerablemente las posibilidades de sufrir una estafa.
El avance de las amenazas informáticas en plataformas masivas obliga a reforzar la educación en ciberseguridad y estar atentos ante cualquier comunicación inusual. La protección de los dispositivos y cuentas personales depende, cada vez más, tanto de la tecnología como de la adopción de buenas prácticas por parte de los propios usuarios.
Fuente: Infobae
