Hay conversaciones que no te gustaría que leyera nadie. Tu médico, tu abogado, un familiar enfermo, tus cuentas bancarias compartidas con la pareja. WhatsApp aloja hoy el grueso de esa vida privada de millones de personas en España, y acaba de confirmarse que una cadena de vulnerabilidades críticas ha permitido a atacantes acceder a todo eso sin que la víctima tuviera que abrir un solo archivo. El fallo, ya parcheado pero que estuvo activo durante meses, combinaba un agujero en la propia app con otro en los sistemas operativos de Apple, y el resultado era el control total del dispositivo.
No hablamos de un experimento de laboratorio. Los propios investigadores internos de Meta, junto con el Security Lab de Amnistía Internacional, confirmaron que la técnica se usó en ataques reales contra periodistas, activistas y personas de la sociedad civil. La CISA estadounidense emitió una alerta formal. Y aunque los parches están disponibles, hay decenas de millones de usuarios que aún no han actualizado su aplicación.
WhatsApp bajo el microscopio: cómo funciona la cadena de ataque
El fallo central, registrado como CVE-2025-55177, reside en la forma en que WhatsApp verifica la procedencia de los mensajes de sincronización entre dispositivos vinculados. La aplicación no comprobaba correctamente si el mensaje procedía realmente de un dispositivo de confianza, lo que permitía que un atacante externo enviara contenido malicioso que la app procesaba como legítimo. A partir de ahí, combinado con un segundo fallo en iOS y macOS (CVE-2025-43300), el atacante podía ejecutar código en el dispositivo de la víctima.
Lo más inquietante es el mecanismo de entrega: el ataque es de tipo «cero clics», lo que significa que no necesitas abrir el archivo, no necesitas pulsar ningún enlace, no necesitas hacer absolutamente nada. Basta con recibir una imagen en formato DNG manipulada para que el proceso arranque de forma automática. En la práctica, esto convierte cualquier mensaje entrante en un vector de riesgo potencial si el dispositivo no está actualizado.
WhatsApp y el spyware: cuando el cifrado no es suficiente
El cifrado de extremo a extremo de WhatsApp es real y funciona bien durante el tránsito del mensaje, pero el spyware no necesita romperlo. Lo esquiva. En lugar de interceptar el mensaje mientras viaja por internet, se instala directamente en el dispositivo y lo lee antes de que llegue a ser cifrado o después de que sea descifrado, como si estuviera sentado al lado tuyo mirando la pantalla.
Esto es exactamente lo que hizo el spyware Pegasus de NSO Group en ataques anteriores contra usuarios de WhatsApp: no rompió ningún cifrado, simplemente accedió al dispositivo a través de una vulnerabilidad en la propia aplicación y desde ahí leyó los mensajes en claro, activó el micrófono, accedió a fotos y rastreó la ubicación. El patrón que repite la vulnerabilidad CVE-2025-55177 es técnicamente distinto pero conceptualmente idéntico.
Qué hacer ahora mismo para proteger tu WhatsApp
La buena noticia es que Meta publicó la versión parcheada para iOS (v2.25.21.73) en julio de 2025 y para WhatsApp en macOS poco después. Apple también lanzó un parche de emergencia para el fallo a nivel de sistema operativo. Si tienes ambas actualizaciones instaladas, el vector de ataque descrito queda bloqueado. El problema real es que millones de personas no actualizan la app de forma inmediata, y ese margen de tiempo es exactamente lo que explotan los atacantes.
Más allá de actualizar, hay configuraciones concretas que reducen significativamente la superficie de ataque. Desactivar la descarga automática de archivos multimedia es la medida más efectiva a corto plazo: ve a Ajustes → Almacenamiento y datos → Descarga automática de medios → selecciona Nunca. Esto impide que archivos manipulados se procesen automáticamente al recibirlos, que es precisamente el mecanismo que explota este tipo de vulnerabilidad.
Quién está más expuesto y por qué deberías actuar hoy
Los perfiles de mayor riesgo
Los investigadores de Amnistía Internacional y Citizen Lab han documentado que los ataques más sofisticados con spyware se dirigen principalmente a periodistas, abogados, activistas de derechos humanos y personas cercanas a procesos políticos. No porque el resto de usuarios sean inmunes, sino porque los recursos necesarios para montar un ataque de este nivel tienen un coste elevado, y quienes los sufragan buscan objetivos con valor de inteligencia. Dicho esto, las campañas más masivas de distribución de malware a través de WhatsApp no discriminan: van a por todo el mundo.
Qué pasa exactamente cuando te infectan con spyware
Una vez que el spyware queda instalado en el dispositivo, el acceso que obtiene el atacante es prácticamente total. Puede leer todos tus mensajes de WhatsApp, pero también de otras aplicaciones como Telegram, Signal o el correo electrónico. Puede activar el micrófono y la cámara de forma remota sin que aparezca ningún indicador visual. Puede rastrear tu ubicación en tiempo real y extraer contraseñas almacenadas en el dispositivo. Y lo hace en silencio, sin notificaciones, sin ralentizaciones evidentes.
Cuatro pasos concretos para blindar tu WhatsApp ahora
- Actualiza WhatsApp a la última versión disponible en App Store o Google Play y haz lo mismo con iOS o Android: los parches del sistema operativo son tan importantes como los de la propia app.
- Desactiva la descarga automática de multimedia: Ajustes → Almacenamiento y datos → Descarga automática de medios → Nunca. Activa también la «Privacidad avanzada del chat» en Ajustes → Privacidad → Avanzado.
- Activa la verificación en dos pasos: Ajustes → Cuenta → Verificación en dos pasos. Un PIN adicional impide que te roben la cuenta aunque alguien consiga tu código SMS.
- Revisa los dispositivos vinculados: Ajustes → Dispositivos vinculados. Si ves alguno que no reconoces, cierra la sesión de inmediato y cambia tu PIN.
El futuro de la seguridad en WhatsApp: hacia un blindaje más proactivo
La propia Meta ha reconocido la tendencia y está respondiendo. En febrero de 2026 lanzó las «Configuraciones estrictas», un modo especial de seguridad pensado para usuarios de alto riesgo que bloquea automáticamente el contenido sospechoso, silencia llamadas de contactos desconocidos y restringe las funciones que podrían servir de vector de ataque. Es un paso en la dirección correcta, aunque su activación sigue siendo voluntaria y, como suele ocurrir, la mayoría de usuarios no la habilitará salvo que sepan que existe.
La mejor defensa sigue siendo la combinación de actualizaciones constantes y configuración activa de privacidad. Los expertos coinciden en que el vector más peligroso no es la sofisticación técnica del ataque, sino la pasividad del usuario. Un dispositivo actualizado con la descarga automática desactivada y la verificación en dos pasos activa convierte en inútil la mayor parte del arsenal disponible para un atacante oportunista. La privacidad no es un ajuste que se configura una vez: es un hábito.
