Vivobook S14 BannerMPG 272URX QD-OLED + MPG Infinite X3 AI 2 Banner
Actualidad
Una vulnerabilidad en WhatsApp con ataque 0-click afecta a dispositivos iPhone, iPad y macOS al recibir una imagen DNG modificada

Una vulnerabilidad en WhatsApp con ataque 0-click afecta a dispositivos iPhone, iPad y macOS al recibir una imagen DNG modificada

por Juan Antonio Soto

Hace muy poco que WhatsApp estrenaba aplicación para los iPads, una app que complementaba la disponibilidad de la aplicación de mensajería de Meta para el ecosistema de Apple. Pero se ha descubierto que este ecosistema tiene una vulnerabilidad que algunos usuarios con malas intenciones pueden aprovechar para hacerse con el control de tu teléfono, tablet u ordenador de Apple. Aprovechando una vulnerabilidad de tipo 0-click RCE (Remote Code Execution) un usuario puede ejecutar código malicioso en tu dispositivo.

Una vulnerabilidad en WhatsApp permite ejecutar código malicioso con ataque tipo 0-click

La vulnerabilidad, que explota a las ya conocidas como CVE-2025-55177 y CVE-2025-43300, compromete la seguridad de tu iPhone, iPad o Mac. Los usuarios que quieran hacer uso de esta tendrán que enviar una imagen modificada DNG que el usuario recibe de forma habitual. La peligrosidad está en que se trata de un ataque 0-click, donde no es necesario tocar o abrir la imagen recibida, sino que al recibirse se pone en marcha automáticamente este código malicioso, sin oportunidad para prevenirlo.

El usuario no puede hacer nada para evitarlo, al recibir la imagen se pone en marcha el código inyectado

Inicialmente, la vulnerabilidad CVE-2025-55177 aprovecha un fallo en la comprobación del mensaje recibido, una comprobación de que su origen es legítimo y de un dispositivo vinculado. WhatsApp piensa que es un mensaje de un remitente confiable y lo recibe sin problema, para dar paso a la vulnerabilidad CVE-2025-43300. Esta segunda cuenta con un fallo en la biblioteca de análisis de archivos DNG, tomándolo por válido y ejecutándolo para su visualización, sin necesidad de abrirlo gracias a la previsualización.

Al enviar una imagen DNG modificada, WhatsApp la procesará y causará un error de corrupción de memoria que dará lugar a la ejecución del código inyectado. Un código que podría emplearse para acceder al contenido de tu dispositivo Mac, iPad o iPhone, como tus fotos, tus datos de contactos o información almacenada en él. Además, puede que esta vulnerabilidad esté oculta y no puedas ver tan siquiera qué dispositivos están afectados.

Esta permanece oculta y no podrás comprobar si tu dispositivo ha sido infectado

Por el momento parece que esto solo afecta a dispositivos Apple, aunque también el autor está investigando un posible problema similar con dispositivos Samsung en una vulnerabilidad asociada a ellos CVE-2025-21043.

Es recomendable actualizar la aplicación, así como el sistema operativo de tu dispositivo para obtener las últimas actualizaciones de seguridad, aquí no hay precaución a tomar, ya que si alguien te envía la imagen poco podrás hacer para detenerlo.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Temas Relacionados: Seguridad Informática Whatsapp Mensajería Instantánea Vulnerabilidades Meta
Redactor del Artículo: Juan Antonio Soto

Juan Antonio Soto

Soy Ingeniero Informático y mi especialidad es la automatización y la robótica. Mi pasión por el hardware comenzó a los 14 años cuando destripé mi primer ordenador: un 386 DX 40 con 4MB de RAM y 210MB de disco duro. Sigo dando rienda suelta a mi pasión en los artículos técnicos que redacto en Geeknetic. Dedico la mayor parte de mi tiempo libre a los videojuegos, contemporáneos y retro, en las más de 20 consolas que tengo, además del PC.

También te puede interesar Otros artículos y noticias sobre tecnología
Intel anuncia una actualización de microcódigo para varios procesadores junto con 30 nuevos avisos de seguridad
...12/11/2025

Intel anuncia una actualización de microcódigo para varios procesadores junto con 30 nuevos avisos de seguridad

Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029
...14/11/2025

Certificados SSL/TLS camino a los 47 días: el nuevo calendario que redefine la seguridad web hasta 2029

Intel denuncia a un ex empleado por haber descargado más de 18.000 archivos confidenciales tras ser despedido
...10/11/2025

Intel denuncia a un ex empleado por haber descargado más de 18.000 archivos confidenciales tras ser despedido

Travel Club ha sido víctima de un nuevo robo de datos, los usuarios no han conseguido contraseñas ni tarjetas de pago
...02/12/2025

Travel Club ha sido víctima de un nuevo robo de datos, los usuarios no han conseguido contraseñas ni tarjetas de pago

Usuarios no autorizados han accedido a datos personales de clientes de Iberia, Nombre Apellidos y e-mail robados
...24/11/2025

Usuarios no autorizados han accedido a datos personales de clientes de Iberia, Nombre Apellidos y e-mail robados

Grupo de hackers afirma haber robado 1.000 millones de registros de bases de datos de clientes de Salesforce
...03/10/2025

Grupo de hackers afirma haber robado 1.000 millones de registros de bases de datos de clientes de Salesforce

Comentarios y opiniones sobre: Una vulnerabilidad en WhatsApp con ataque 0-click afecta a dispositivos iPhone, iPad y macOS al recibir una imagen DNG modificada ¿Qué opinas? ¿Alguna pregunta?
BestiaBanquete Banner