Por Mid 
CISA toma medidas contra vulnerabilidades en TP-Link y WhatsApp
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Media
Conclusiones clave
- La CISA ha añadido dos vulnerabilidades críticas a su catálogo con plazos de mitigación establecidos.
- La vulnerabilidad CVE-2020-24363 en TP-Link permite el acceso no autorizado a través del restablecimiento de fábrica del dispositivo.
- La vulnerabilidad CVE-2025-55177 en WhatsApp fue parte de un ataque de spyware muy sofisticado, apuntando a dispositivos sin interacción del usuario.
- Las actualizaciones y mitigaciones son obligatorias para las agencias federales antes del 23 de septiembre de 2025.
- Estas acciones forman parte de la estrategia de CISA para reducir la superficie de ataque en los sistemas gubernamentales.
Índice
Vulnerabilidad en TP-Link TL-WA855RE
La primera vulnerabilidad, CVE-2020-24363, se encuentra en el extensor Wi-Fi TP-Link TL-WA855RE. Este fallo, que posee una puntuación de 8.8 en la escala CVSS, permite a un atacante remoto eludir los mecanismos de autenticación. Esto se logra mediante el envío de una solicitud POST TDDP_RESET, que fuerza el restablecimiento de fábrica del dispositivo. Una vez que se produce este restablecimiento, el atacante puede establecer una contraseña administrativa arbitraria, lo cual compromete de manera total el control de acceso del dispositivo.
A pesar de que TP-Link lanzó una actualización de firmware (TL-WA855RE(EU)_V5_200731) como medida de mitigación para este problema, es importante señalar que el dispositivo ha sido oficialmente declarado como de fin de vida útil (EoL), lo cual implica la falta de soporte y sugiere la necesidad de ser reemplazado por un hardware más moderno y seguro.
Vulnerabilidad en WhatsApp
La segunda vulnerabilidad añadida a la lista es la CVE-2025-55177, que afecta a la aplicación de WhatsApp. Esta brecha, con una calificación CVSS de 5.4, fue utilizada en una campaña de spyware altamente sofisticada. Además, fue explotada en conjunto con una vulnerabilidad adicional en Apple (CVE-2025-43300, CVSS 8.8), que afecta a los sistemas iOS, iPadOS y macOS. La combinación de ambas vulnerabilidades permitió un compromiso de dispositivos sin prácticamente ninguna interacción del usuario.
WhatsApp ha informado que menos de 200 cuentas fueron notificadas sobre una posible afectación directa, lo que sugiere un ataque altamente selectivo y complejo.
Medidas tomadas por CISA
Ante este panorama, CISA ha reiterado la urgencia para que todas las agencias federales civiles implementen las actualizaciones o medidas de mitigación requeridas antes de la fecha límite establecida. Esta acción se enmarca dentro de la Directiva Operativa Vinculante (BOD) 22-01, que tiene como objetivo reducir la superficie de ataque en los sistemas gubernamentales frente a amenazas activas que se están explotando en la actualidad.
Referencias
- CISA (Cybersecurity and Infrastructure Security Agency)
- TP-Link Official Website
- WhatsApp Official Website
- MITRE CVE Database