💡 Resumen (TL;DR):
- Apple liberó iOS 16.7.15 e iOS 15.8.7 para asegurar modelos desde el iPhone 8 hasta el XR.
- El kit Coruna encadena 23 exploits y afectó a por lo menos 42,000 dispositivos a nivel global.
- Diseñado originalmente por un contratista militar, el código ahora es usado por cibercriminales para robar criptomonedas.
Apple liberó este miércoles las actualizaciones de seguridad iOS 16.7.15 e iOS 15.8.7 para proteger sus smartphones más antiguos contra el framework Coruna, un ataque masivo que encadena 23 exploits para comprometer equipos desde iOS 13 hasta iOS 17.2.1.
Las páginas de soporte de la compañía confirmaron que los parches aplican para el iPhone 8, iPhone 8 Plus y iPhone X (en la versión 16.7.15), así como para la serie iPhone XS y iPhone XR (en la versión 15.8.7).
Apple señaló que estas reparaciones cierran brechas en el kernel y WebKit “asociadas con el exploit Coruna”, ofreciendo protección a “dispositivos que no pueden actualizarse a la versión más reciente de iOS”.
Coruna es un framework de ataque que funciona escaneando la huella digital del dispositivo objetivo para lanzar un exploit de ejecución remota de código en WebKit, escapar del entorno sandbox y tomar control del sistema con privilegios de kernel.
El 2 de marzo, el Threat Intelligence Group de Google e iVerify revelaron su existencia. Google detalló que el kit contiene cinco cadenas completas de vulnerabilidades para iOS, y que “las más avanzadas utilizan técnicas de explotación no públicas y evasiones de mitigación”.
Por su parte, iVerify rastreó la amenaza bajo el nombre “CryptoWaters” y calculó que infectó al menos a 42,000 dispositivos. La firma calificó el incidente como el “primer ataque masivo conocido en iOS”, ya que atacaba indiscriminadamente a cualquier usuario que visitara sitios web comprometidos.
De arma militar a robo de criptomonedas
- Según TechCrunch, el kit fue diseñado originalmente por Trenchant, una división del contratista militar estadounidense L3Harris.
- Rocky Cole, cofundador de iVerify, comparó esta fuga de código con un “momento EternalBlue”, recordando el exploit de la NSA que detonó la crisis de WannaCry en 2017.
- Google notó que algunos vectores de Coruna coinciden con las vulnerabilidades de la “Operación Triangulación” descubierta por Kaspersky en 2023.
A finales de 2025, el malware pasó de manos gubernamentales al mercado criminal. Google identificó que el grupo de piratas financieros de origen chino UNC6691 está usando estos exploits en páginas web falsas para robar credenciales bancarias y billeteras de criptomonedas.
Aunque los iPhones recientes son inmunes, los modelos de hardware antiguo permanecían expuestos hasta esta actualización. Boris Larin, investigador de Kaspersky, advirtió sobre el peligro latente en el ecosistema: “Muchos usuarios simplemente no actualizan, y Coruna contiene 23 exploits en cinco cadenas: estos dos CVE compartidos son solo la punta del iceberg”.
