La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente sobre una vulnerabilidad de día cero en WhatsApp, la cual está siendo activamente explotada en ataques. Esta falla, identificada como CVE-2025-55177, se debe a una autorización incorrecta en la sincronización de mensajes entre dispositivos vinculados.
La vulnerabilidad permite que un atacante manipule los mensajes de sincronización y obligue a un dispositivo objetivo a conectarse a una URL maliciosa. El proceso de ataque es el siguiente:
- Verificación deficiente: El cliente de WhatsApp no verifica correctamente el origen del mensaje de sincronización.
- Solicitud maliciosa: Un atacante puede enviar una solicitud de sincronización fraudulenta que contiene una URL controlada por él.
- Ejecución de código: El dispositivo vulnerable procesa la solicitud y descarga el contenido de la URL, lo que podría resultar en la ejecución remota de código (RCE) o la suplantación de contenido.
Aunque no se ha confirmado su uso en campañas de ransomware, la explotación de esta vulnerabilidad ya se ha observado en ataques de phishing dirigidos.
Medidas de mitigación recomendadas por CISA
CISA insta a las organizaciones y usuarios a tomar medidas inmediatas para protegerse de esta amenaza:
- Instalar el parche: Aplicar la actualización de seguridad lanzada por Meta Platforms el 2 de septiembre de 2025.
- Reforzar la configuración: Asegurarse de que los mensajes de sincronización solo provengan de puntos de acceso autenticados.
- Seguir la normativa BOD 22-01: Cumplir con los requisitos de la Directiva Operativa Vinculante 22-01 de CISA para la seguridad de servicios en la nube.
- Suspender el uso: Si no es posible aplicar el parche de inmediato, CISA recomienda suspender el uso de WhatsApp hasta que la versión segura esté instalada.
Además, las organizaciones deben monitorear el tráfico de red en busca de conexiones inusuales que salgan de los clientes de WhatsApp, ya que podrían ser un indicio de un intento de explotación.
