Una de les bones notícies és que la quantitat d’usuaris afectats és força limitada. És molt important tenir la darrera versió de l’aplicació instal·lada per evitar problemes.

WhatsApp ha corregit una vulnerabilitat que afectava les seves aplicacions per a iOS i macOS, utilitzada en una campanya d’espionatge que va comprometre la privadesa d’uns quants usuaris. La fallada, identificada com a CVE-2025-55177, es va combinar amb una bretxa de seguretat a nivell de sistema operatiu en dispositius Apple (CVE-2025-43300), la qual cosa va permetre als atacants executar un explotador de tipus “zero-click.

Un atac invisible i altament dirigit

La característica més preocupant d’aquest atac és el que ja hem esmentat: la seva naturalesa “zero-click”. A diferència dels mètodes tradicionals que requereixen que l’usuari executi un enllaç o descarregui un fitxer, aquest tipus de vulnerabilitat permet que el dispositiu esdevingui compromès sense que l’usuari faci cap acció. En aquest cas, els atacants van aprofitar una autorització incompleta al sistema de sincronització de dispositius vinculats de WhatsApp, cosa que els va permetre processar contingut des d’URL arbitràries als dispositius de les víctimes.

La campanya d’espionatge va estar activa durant almenys 90 dies, des de finals de maig, segons ha confirmat Donncha O Cearbhaill, responsable del Security Lab d’Amnistia Internacional. Tot i que no s’ha revelat la identitat dels atacants, tot apunta a una operació altament especialitzada, possiblement vinculada a actors estatals o empreses de programari espia.

Dispositius i versions afectades

WhatsApp ha detallat que les versions vulnerables de la seva aplicació són les següents:

• WhatsApp per a iOS anterior a la versió 2.25.21.73
• WhatsApp Business per a iOS versió 2.25.21.78
• WhatsApp per a Mac versió 2.25.21.78

Aquestes versions ja tenen pedaços, i es recomana actualitzar a les últimes versions disponibles per evitar riscos de seguretat. Apple, per altra banda, ha llançat actualitzacions d’emergència per a diversos dels seus sistemes operatius.

Meta confirma l’abast limitat de l’atac

Margarita Franklin, portaveu de Meta, ha confirmat que la fallada va ser detectada i corregida fa unes setmanes. L’empresa va notificar directament els usuaris afectats, que van ser menys de 200 en total. Tot i que el nombre és reduït, el tipus d’atac i la seva sofisticació han encès les alarmes a la comunitat de ciberseguretat.

WhatsApp també ha enviat alertes de seguretat als usuaris potencialment compromesos, i els ha recomanat que facin un restabliment de fàbrica del dispositiu i mantinguin tant el sistema operatiu com l’aplicació actualitzats per garantir la protecció completa.

WhatsApp és una aplicació segura

Aquest incident no és aïllat. WhatsApp ha estat objectiu de múltiples campanyes de programari espia en els darrers anys. A principis del 2025, la plataforma va aconseguir interrompre una operació d’espionatge duta a terme per Paragon, que tenia com a objectiu periodistes i membres de la societat civil a Itàlia.

A més, el 2019, WhatsApp va demandar el grup NSO, creador de l’infame programari espia Pegasus, per comprometre la seguretat de més de 1.400 usuaris. El maig del 2024, un tribunal nord-americà va ordenar al NSO Group pagar 167 milions de dòlars (aproximadament 155 milions d’euros) en concepte de danys a WhatsApp. La solució d’aquests problemes deixa clar els esforços de l’empresa per protegir la privadesa dels seus usuaris, especialment en un context en què les amenaces digitals es tornen cada cop més sofisticades.