Un nuevo y sofisticado kit de herramientas de hacking, descubierto por Google, pone en peligro a los propietarios de iPhone y sus monederos de criptomonedas. Bautizado como 'Coruna', este malware es capaz de infectar los dispositivos de Apple de forma totalmente pasiva, simplemente visitando un sitio web comprometido, para después desviar fondos de algunas de las aplicaciones de criptocarteras más populares del mundo.
La amenaza, surgida del análisis de los equipos de seguridad de Google, representa un peligroso salto adelante en el panorama de los ciberataques, combinando el silencio de un exploit zero-click con un objetivo financiero directo.
Ataque invisible: basta con un clic para infectarse.
La característica más preocupante de Coruna es su capacidad para operar sin ninguna interacción por parte de la víctima. A diferencia del phishing clásico, que requiere hacer clic en un enlace malicioso o descargar un archivo infectado, este kit de herramientas explota vulnerabilidades profundas en el sistema operativo iOS.
Un usuario con un iPhone desactualizado sólo tiene que aterrizar en una web falsa o comprometida para desencadenar la infección. Una vez dentro, el malware no roba contraseñas, sino que va directamente a la fuente: las frases semilla necesarias para restaurar y controlar una criptocartera.
Coruna escanea silenciosamente mensajes, notas y otros archivos del iPhone en busca de cadenas de texto específicas como "frase de copia de seguridad" o "frase de restauración", junto con 12 o 24 palabras. Una vez encontrada la secuencia, los atacantes obtienen el control total de los fondos, saltándose cualquier otra autenticación.
Quién está en el punto de mira: 18 apps en riesgo
El ataque no está dirigido a una única plataforma, sino que tiene como objetivo toda una constelación de apps de finanzas descentralizadas (DeFi). Según el análisis de Google, 18 aplicaciones de criptomonedas están en el punto de mira de Coruña, incluidos gigantes del sector como MetaMask, Phantom, Exodus, Trust Wallet y Uniswap. Los usuarios de estas plataformas se exponen así a un riesgo directo e inmediato de robo de criptomonedas.
La génesis de una amenaza múltiple
La historia de Coruna es compleja y revela un creciente mercado negro de exploits cibernéticos. Google ha reconstruido la ruta del kit de herramientas, recuperándolo de cientos de sitios web falsos, incluida una réplica engañosa de la plataforma de intercambio de criptomonedas WEEX.
El análisis reveló un preocupante uso cruzado:
- En el verano de 2025, un presunto grupo de espionaje ruso utilizó el mismo kit de herramientas para atacar a usuarios de iPhone en Ucrania, explotando sitios web comprometidos de empresas locales.
- Posteriormente, un grupo criminal con base en China, motivado por fines financieros, lo difundió a gran escala a través de sitios de estafa, lo que permitió a Google recuperar el código completo y rebautizarlo como Coruna.
Este cambio de manos sugiere la existencia de un próspero mercado secundario de herramientas de hacking extremadamente potentes.
Cómo protegerse: la solución está ahí.
A pesar de la peligrosidad del ataque, la defensa es sorprendentemente sencilla y ya está disponible. La vulnerabilidad explotada por Coruña afecta a iPhones con iOS 17.2.1 o anterior. Apple lanzó el parche definitivo para estos exploits con la actualización a iOS 17.3, publicada en enero de 2024. Quienes lleven más de año y medio sin instalar las actualizaciones están potencialmente en riesgo.
Además, Apple ya había introducido una medida de seguridad extrema que resultó fatal para el kit de herramientas: el Modo Bloqueo. Si se activa en los ajustes del iPhone, esta función bloquea por completo el ataque: una vez que Coruna detecta la presencia del modo, cesa inmediatamente su ejecución.
Un legado peligroso: los exploits reciclados
El análisis de Coruna reveló finalmente otra pieza preocupante: dos de los exploits detrás del kit de herramientas ya habían sido utilizados en una anterior y famosa campaña de espionaje de iOS, Operación Triangulación, descubierta por Kaspersky en 2023. Esto demuestra cómo los exploits de nivel "élite", una vez desarrollados, siguen circulando y siendo reutilizados por diferentes actores, pasando de las agencias de vigilancia a los grupos estatales y, finalmente, a la delincuencia financiera común.
