Exploit en la fuente, virus en el PDF, ataque en el chat. En WhatsApp no solo leen tú y tu mamá

La empresa Meta confirmó oficialmente la relación entre una vulnerabilidad recién descubierta en la biblioteca FreeType y la empresa israelí de software espía Paragon. Se trata de la vulnerabilidad CVE-2025-27363, que afecta a la popular biblioteca utilizada por los desarrolladores para el trabajo con texto y fuentes. El fallo permite ejecutar código arbitrario en el dispositivo de la víctima y desde un principio se consideró como potencialmente explotable en ataques reales.

Ya en marzo, Meta publicó una advertencia sobre CVE-2025-27363 en su página de recomendaciones de seguridad para Facebook*. Allí se indicaba que la vulnerabilidad afecta a la biblioteca FreeType a partir de la versión 2.13.0 y anteriores. El problema reside en el manejo incorrecto de las estructuras de subglifos de las fuentes TrueType GX y fuentes variables. Según explicaron los especialistas, el error se debe a la asignación de un valor de tipo signed short a una variable de tipo unsigned long. Luego se suma un valor fijo, lo que provoca un desbordamiento y la asignación de un espacio de memoria demasiado pequeño en el heap. Posteriormente, el código escribe hasta seis enteros largos fuera del área de memoria asignada, lo que finalmente permite al atacante ejecutar código arbitrario.

A principios de mayo, la vulnerabilidad fue corregida en Android. Sin embargo, hasta hace poco no se conocían detalles sobre ataques concretos que explotaran CVE-2025-27363. Según declaraciones de representantes de WhatsApp, fue precisamente el equipo del servicio de mensajería quien solicitó el CVE para esta vulnerabilidad. La razón es que el problema identificado está directamente vinculado a un exploit utilizado por la empresa israelí Paragon.

El uso de productos de Paragon para ataques de espionaje ya había sido reportado por el grupo de investigación Citizen Lab de la Universidad de Toronto. En marzo, los especialistas publicaron información sobre un día cero en WhatsApp, explotado en ataques mediante el software espía de Paragon. Según los representantes de la plataforma, los atacantes utilizaban chats grupales y el envío de archivos PDF para infectar los dispositivos. En ese momento, la vulnerabilidad se solucionó desde el lado del servidor, sin necesidad de que los usuarios actualizaran las aplicaciones cliente.

Ahora, WhatsApp ha aclarado que la vulnerabilidad CVE-2025-27363 se descubrió como parte de un análisis más amplio de posibles vectores de infección no directamente relacionados con WhatsApp. El objetivo de la investigación es determinar qué otros métodos utilizan las empresas desarrolladoras de software espía para entregar código malicioso a los dispositivos de las víctimas. Los representantes del servicio indicaron que los resultados de esta investigación se compartieron con otras compañías para fortalecer la ciberseguridad en todo el sector.

Los productos espía de Paragon, en particular Graphite, ya se han detectado en varios países, incluidos Australia, Canadá, Dinamarca, Italia, Chipre, Singapur e Israel. Citizen Lab ha destacado en varias ocasiones la alta sofisticación técnica de los ataques de Paragon, así como la existencia de exploits que no requieren ninguna interacción por parte de la víctima: la infección ocurre de forma automática. En particular, anteriormente la empresa logró atacar incluso las versiones más recientes de iPhone, hasta que Apple cerró las vulnerabilidades correspondientes.