💡 Resumen (TL;DR):
- Google e iVerify detectaron un poderoso sistema de hackeo con 23 vulnerabilidades que afecta versiones antiguas de iOS.
- La herramienta pasó de ser exclusiva para agencias de inteligencia a operar en fraudes masivos de criptomonedas.
- El malware roba credenciales bancarias y billeteras digitales; usuarios con iOS actualizado están protegidos.
El Grupo de Inteligencia de Amenazas de Google y la firma de seguridad iVerify descubrieron Coruna, un poderoso kit de hackeo para iPhone que migró del espionaje gubernamental a las manos de cibercriminales financieros. Esta herramienta explota múltiples vulnerabilidades en equipos desactualizados para instalar malware y robar información bancaria.
Los desarrolladores originales diseñaron este software para comprometer remotamente equipos que operan desde iOS 13.0 hasta iOS 17.2.1, versiones lanzadas entre septiembre de 2019 y diciembre de 2023. Para lograrlo, el sistema utiliza cinco cadenas de exploits completas que aprovechan 23 vulnerabilidades distintas en el sistema operativo.
Google detectó la primera actividad de Coruna en febrero de 2025, cuando un proveedor de vigilancia lo utilizó para intervenir un celular por encargo de un gobierno. Cinco meses después, en julio, un presunto grupo de inteligencia rusa lo implementó en ataques contra sitios web ucranianos.
La propagación continuó en diciembre de 2025. Un grupo de hackers chinos desplegó la herramienta en sitios fraudulentos de criptomonedas y apuestas para infectar indiscriminadamente a cualquier usuario de iPhone que los visitara.
Un mercado negro de exploits de segunda mano
La transición de operaciones de Estado a fraudes financieros masivos ilustra un mercado emergente de armas digitales revendidas. La firma iVerify catalogó esta campaña como el primer ataque masivo de iOS de su tipo.
- PlasmaLoader es un malware que se instala tras el ataque inicial para rastrear el dispositivo en busca de credenciales de carteras de criptomonedas y cuentas bancarias.
- Varias de las 23 fallas originales explotadas aún no reciben un identificador CVE oficial y los investigadores analizan si cinco de ellas ya fueron parcheadas por completo.
Aunque el informe de Google no señala directamente al creador de Coruna, el análisis de código reveló documentación nativa en inglés. Rocky Cole, cofundador de iVerify, declaró a la revista Wired que el kit “requirió millones de dólares para su desarrollo” y presenta “las características de otros módulos que han sido conectados públicamente al gobierno de EE. UU.”.
Reportes adicionales de TechCrunch indican que la estructura comparte componentes con la Operación Triangulación, una campaña de ciberespionaje que la firma rusa Kaspersky atribuyó a Estados Unidos en 2023.
Apple ya mitigó estas amenazas en sus versiones recientes y actualmente distribuye iOS 26. Los usuarios que mantienen su smartphone actualizado están a salvo. Sin embargo, los analistas estiman que tan solo en China, al menos el 5% de los dueños de iPhone todavía ejecutan software antiguo y vulnerable a estos ataques.
