Investigadores de DARKNAVY revelaron una peligrosa vulnerabilidad “0-click” (sin clic) en WhatsApp que pone en riesgo a los dispositivos Apple, incluyendo iPhone, iPad y Mac. La falla permite a los atacantes ejecutar código malicioso y tomar control del dispositivo simplemente enviando una imagen DNG manipulada, sin que el usuario abra el archivo.
Cómo funciona la vulnerabilidad
La falla, identificada como CVE-2025-55177 y CVE-2025-43300, aprovecha errores en la validación de mensajes de WhatsApp. Al recibir la imagen, incluso sin abrirla, se activa un fallo interno que permite a los hackers:
- Tomar control total del dispositivo
- Leer mensajes y acceder a archivos
- Espiar llamadas y chats
- Instalar malware de manera silenciosa
Algunos dominios donde se han detectado archivos DNG manipulados incluyen: zapgrande.com, sorvetenopote.com, expansiveuser.com y varios más asociados a WhatsApp.
Dispositivos afectados
- Mac con macOS
- iPhone con iOS
- iPad con iPadOS
Cualquier dispositivo con WhatsApp activo está en riesgo, aunque el mensaje no se abra.
Cómo protegerse
Expertos recomiendan:
- Mantener WhatsApp y el sistema operativo actualizados
- Desactivar la descarga automática de archivos
- No abrir imágenes de contactos desconocidos
- Limitar permisos de la app (cámara, micrófono, archivos)
- Cerrar sesiones de WhatsApp Web no utilizadas
- Activar la verificación en dos pasos
- Vigilar comportamientos extraños del dispositivo
Estado de la solución
Actualmente no existe un parche oficial, pero ya trabajan en actualizaciones de seguridad. Mientras tanto, seguir buenas prácticas de ciberseguridad es fundamental para reducir riesgos.
