WhatsApp acaba de confirmar uno de los sustos más serios de su historia reciente: una cadena de vulnerabilidades permitía a atacantes acceder al historial completo de conversaciones de un usuario sin que este llegara a tocar un solo archivo. El fallo, ya parcheado, combinaba un agujero en la propia aplicación con otro en los sistemas operativos de Apple, y el resultado era el control total del dispositivo de la víctima.
Hay conversaciones que nadie querría ver expuestas: las de tu médico, tu abogado, tus cuentas bancarias compartidas en pareja. Millones de personas en España confían a esta app el grueso de su vida privada, y ahora sabemos que esa confianza estuvo en juego durante meses sin que nadie lo supiera.
Cómo funcionaba el fallo de WhatsApp que exponía tus chats
El fallo central, registrado como CVE-2025-55177, residía en la forma en que WhatsApp verificaba la procedencia de los mensajes de sincronización entre dispositivos vinculados. La aplicación no comprobaba correctamente si un mensaje procedía de verdad de un dispositivo de confianza, lo que abría la puerta a que un atacante externo enviara contenido malicioso que la app procesaba como si fuera legítimo.
A partir de ahí, combinado con un segundo fallo en iOS y macOS, el atacante podía ejecutar código directamente en el móvil de la víctima. Lo más inquietante del mecanismo de entrega es que se trataba de un ataque de tipo "cero clics": no hacía falta abrir el archivo, pulsar ningún enlace ni hacer absolutamente nada para quedar expuesto.
Qué es el spyware y por qué este caso preocupa tanto a los expertos
El objetivo final de este tipo de fallos no es dañar el móvil, sino instalar spyware sin que la víctima lo perciba. Se trata de un software diseñado para recopilar información —mensajes, contraseñas, ubicación— y enviarla a un tercero sin conocimiento ni consentimiento del propietario del dispositivo. En este caso, la vía de entrada era precisamente WhatsApp, la aplicación de mensajería que casi todo el mundo lleva en el bolsillo.
Este tipo de amenaza no busca hacerse notar: cuanto más tiempo pase oculta, más datos puede extraer. Por eso los ataques cero clics son especialmente valorados por los grupos que desarrollan este tipo de herramientas, ya sean ciberdelincuentes comunes o actores con más recursos y objetivos concretos.
La buena noticia: el parche ya está disponible
Meta publicó la versión parcheada para iOS (v2.25.21.73) en julio de 2025, y poco después llegó la actualización correspondiente para WhatsApp en macOS. Apple, por su parte, lanzó un parche de emergencia para el fallo a nivel de sistema operativo. Si tienes ambas actualizaciones instaladas, el vector de ataque descrito queda completamente bloqueado.
El problema real es que millones de personas no actualizan la app de forma inmediata, y ese margen de tiempo es exactamente lo que explotan los atacantes. Un parche disponible no protege a nadie si se queda sin instalar durante semanas o meses en el móvil de turno.
Qué puedes hacer ahora mismo para protegerte
Más allá de actualizar, existen configuraciones concretas que reducen de forma notable la superficie de ataque, incluso ante fallos que todavía no se conocen. Desactivar la descarga automática de archivos multimedia es la medida más efectiva a corto plazo, porque impide que un archivo manipulado se procese automáticamente nada más recibirlo.
Estos son los pasos que marcan la diferencia:
- Actualiza WhatsApp a la última versión en App Store o Google Play, y haz lo mismo con iOS o Android.
- Ve a Ajustes → Almacenamiento y datos → Descarga automática de medios → selecciona Nunca.
- Activa la "Privacidad avanzada del chat" en Ajustes → Privacidad → Avanzado.
- Revisa los dispositivos vinculados en Ajustes → Dispositivos vinculados y cierra sesión en cualquiera que no reconozcas.
Lo que viene: hacia una seguridad más proactiva en la mensajería
La propia Meta ha reconocido la tendencia y está respondiendo con algo más que parches puntuales. En febrero de 2026 lanzó las llamadas "Configuraciones estrictas", un modo especial pensado para usuarios de alto riesgo que bloquea automáticamente el contenido sospechoso y silencia llamadas de contactos desconocidos antes de que puedan causar daño.
El panorama, con todo, invita a un optimismo moderado. Cada fallo que se descubre y corrige deja el ecosistema un poco más blindado, y la presión pública sobre las grandes plataformas para reaccionar rápido es cada vez mayor. La recomendación de los expertos sigue siendo la de siempre: mantener la app actualizada y desconfiar de cualquier archivo o mensaje que llegue de forma inesperada, por inofensivo que parezca a primera vista.





