Boletín Semanal de Ciberseguridad, 5 septiembre

5 de septiembre de 2025

WhatsApp parchea un fallo explotado en ataques 0-day

WhatsApp ha corregido una vulnerabilidad crítica de tipo zero-click (CVE-2025-55177, CVSSv3 de 8.0 según CISA) que afectaba a sus clientes de mensajería en iOS anteriores a la versión 2.25.21.73, WhatsApp Business para iOS (v2.25.21.78) y WhatsApp para Mac (v2.25.21.78).

El fallo, relacionado con la autorización incompleta en la sincronización de dispositivos vinculados, permitía a un atacante procesar contenido desde una dirección URL arbitraria en el dispositivo de la víctima sin interacción del usuario. Esta vulnerabilidad fue explotada junto con un fallo a nivel de sistema operativo en plataformas Apple (CVE-2025-43300, CVSSv3 de 8.0 según CISA) en ataques 0-day sofisticados dirigidos a usuarios concretos.

Aunque no se han publicado PoCs o exploits públicos, WhatsApp ha emitido parches y recomienda realizar un restablecimiento de fábrica del dispositivo y mantener el sistema operativo actualizado. La campaña de spyware fue detectada por Donncha Ó Cearbhaill, jefe del Security Lab de Amnistía Internacional.

Más info

​​​Ataque a la cadena de suministro expone datos de Salesforce

Un ataque a la cadena de suministro contra la aplicación Salesloft Drift ha comprometido datos de Salesforce de grandes compañías de ciberseguridad como Zscaler, Palo Alto Networks, Cloudflare y SpyCloud. El ataque, atribuido al grupo UNC6395 y detectado por Google Threat Intelligence Group, se llevó a cabo entre el 8 y el 18 de agosto de 2025 mediante el robo de tokens OAuth. Los actores accedieron a entornos corporativos de Salesforce, exfiltrando credenciales sensibles como claves de AWS, contraseñas y tokens de bases de datos Snowflake.

Entre los datos expuestos se encuentran nombres, correos electrónicos, teléfonos, cargos y detalles regionales, además de información comercial y de soporte en algunos casos. Salesforce y Salesloft revocaron todos los tokens comprometidos el 20 de agosto y retiraron temporalmente la aplicación de AppExchange. Las empresas afectadas confirmaron que el acceso se limitó a datos de Salesforce y que sus plataformas principales no se vieron comprometidas.

Se recomienda revisar permisos de OAuth, auditar datos sensibles y reforzar los controles de acceso ante el riesgo de campañas de phishing y ataques de ingeniería social basados en la información filtrada.

Más info

Google desmiente que Gmail haya sufrido una brecha masiva de datos

Google ha desmentido rotundamente los informes que afirmaban que había emitido una alerta global de seguridad para sus 2.500 millones de usuarios de Gmail, calificando dichas afirmaciones como “totalmente falsas”. La confusión provino de una interpretación errónea de un incidente limitado ocurrido en junio de 2025, cuando el grupo ShinyHunters accedió a una base de datos interna de Salesforce mediante técnicas de ingeniería social (vishing), obteniendo información básica de contacto empresarial, pero sin comprometer contraseñas ni datos sensibles.

Aunque algunos medios lo presentaron como una brecha masiva de Gmail, Google aclaró que su infraestructura de correo no fue afectada y que sus sistemas bloquearían más del 99.9% de intentos de phishing y malware. La empresa recomienda el uso de passkeys y autenticación en dos pasos con apps o llaves físicas, y advierte sobre campañas similares dirigidas a diversos sectores.

Más info

Backdoors en Citrix Netscaler explotados desde mayo de 2025

El investigador Kevin Beaumont ha revelado que la vulnerabilidad CVE-2025-6543 (CVSSv3 9.2 según proveedor) en Citrix Netscaler fue explotada como 0-day desde mayo de 2025 contra gobiernos e instituciones legales, más de un mes antes de que existiera un parche. Los atacantes, presuntamente vinculados a Volt Typhoon, desplegaron webshells y crearon puertas traseras que persisten incluso tras aplicar actualizaciones.

La campaña utilizó peticiones manipuladas para ejecutar un script Python que desplegaba un webshell en PHP cifrado. Además, los atacantes manipularon fechas de archivos para ocultar la intrusión. Citrix no informó públicamente sobre la existencia de estas puertas traseras, limitando la información a clientes bajo acuerdos de confidencialidad. Investigadores alertan que aún podrían existir sistemas comprometidos y recomiendan revisar logs de Netscaler, especialmente peticiones inusuales y modificaciones de archivos.

Más info

Corregidos 84 fallos de Android, cuatro críticos y dos activamente explotados

Google ha publicado el parche de seguridad de septiembre de 2025 para Android, corrigiendo 84 vulnerabilidades, incluidas dos fallos explotados activamente: CVE-2025-38352 (CVSSv3 7.4, según CISA; condición de carrera en los temporizadores POSIX del kernel Linux, que permite escalada de privilegios y DoS) y CVE-2025-48543 (falla en Android Runtime que permite a apps maliciosas evadir el sandbox).

También se solucionaron cuatro vulnerabilidades críticas, entre ellas CVE-2025-48539, una ejecución remota de código (RCE) en el componente SYSTEM que puede activarse vía bluetooth o WiFi sin interacción del usuario. Las otras tres (CVE-2025-21450, CVSSv3 9.1 según Qualcomm; CVE-2025-21483; CVE-2025-27034) afectan a componentes de Qualcomm, incluyendo corrupción de memoria y errores de validación de índices que permiten RCE en el módem baseband.

Los parches están disponibles para Android 13 a 16, y se recomienda actualizar a los niveles 2025-09-01 o 2025-09-05. Los dispositivos con Android 12 o anterior deberían ser reemplazados o usar distribuciones alternativas con soporte activo.

Más info