Investigadores revelaron una peligrosa cadena de vulnerabilidad del tipo “0-click” RCE (Remote Code Execution) en WhatsApp que afecta los dispositivos de Apple, como el iPhone.

Esto permite a los hackers tomar el control de los dispositivos con sistemas Apple: macOS, iOS y iPadOS sin que el usuario haga clic en una imagen DNG (formato de foto profesional).

Así lo revelaron investigadores de seguridad de DARKNAVY que descubrieron dos fallas críticas: CVE-2025-55177 y CVE-2025-43300.

El ataque funciona al enviar una imagen manipulada por WhatsApp, capaz de ejecutar código malicioso sin que la persona se percate.

¿Qué es la vulnerabilidad “O-click” de WhatsApp en Apple?

A diferencia de otros ataques, este tipo de vulnerabilidad se llama “O-click” porque no necesita ninguna acción del usuario. Es decir, no se tiene que abrir la imagen ni hacer clic en nada para que el dispositivo se infecte.

Todo comienza con una falla en cómo WhatsApp valida los mensajes que recibe. Los investigadores explicaron que un atacante puede enviar una imagen DNG fingiendo que viene de un contacto confiable. Una vez recibida, la imagen activa otro error dentro de la app que permite al hacker controlar el dispositivo.

Hasta el momento se han identificados algunos dominios con archivos con extensión DNG:

• zapgrande – com

• sorvetenopote – com

• expansiveuser – com

• whatsappenrolling – com

• whatsappu – com

• whatsappenerp – com

• onlywhatsapps – com

• hats-whatsapp – com

• n8nwhatsapp – ORG

• lie-whatsapp – com

• whatsappez – CC

• whatsappbrasil – com

• whatsapp-labs – com

• wap-whatsap – com

• wap-whatsap – com

• w9d-whatsapp – NET

¿Qué pueden hacer los atacantes?

Una vez explotada la falla, los atacantes pueden:

• Tomar control total del dispositivo

• Leer mensajes y acceder a los archivos

• Espiar llamadas o chats

• Instalar malware adicional sin que se note

Lo más preocupante es que este tipo de ataque no deja rastros visibles. Todo sucede en segundo plano y de forma silenciosa.

¿Qué dispositivos están en riesgo?

Los investigadores señalan que esta vulnerabilidad afecta a:

• Mac con macOS

• iPhone con iOS

• iPad con iPadOS

Específicamente, los dispositivos donde WhatsApp esté instalado y activo. No importa si no abriste el mensaje; el solo hecho de recibir la imagen puede activar el ataque.

¿Cómo protegerte de esta amenaza?

Algunos consejos para reducir riesgos, según los expertos en ciberseguridad de Rewterz:

• Actualizar WhatsApp y el sistema operativo tan pronto haya una nueva versión

• Desactivar la descarga automática de archivos desde WhatsApp

• No abrir imágenes de números desconocidos

• Limitar los permisos de la app, como acceso a cámara, micrófono o archivos

• Cerrar sesiones de WhatsApp Web que no estés usando

• Activar la verificación en dos pasos

• Monitorear el comportamiento del dispositivo, como lentitud extraña o consumo excesivo de batería

¿Ya hay solución?

Por ahora, no hay parche oficial. WhatsApp y Apple están trabajando en una actualización de seguridad. Mientras tanto, lo más importante es mantener todo actualizado y seguir buenas prácticas de ciberseguridad.

Los investigadores también están analizando si esta misma técnica puede afectar dispositivos de otras marcas, como Samsung.

Fuente: https://www.unotv.com/tecnologia/detectan-vulnerabilidad-en-whatsapp-para-dispositivos-de-apple-no-requiere-clic-del-usuario/