Echar un vistazo rápido a una web desde el móvil suele parecer inofensivo. Con Coruna, un nuevo kit de hacking para iPhone, esa simple visita puede bastar para que un atacante tome el control del dispositivo sin que el usuario toque nada.
Según la investigación de Google y de la empresa de seguridad móvil iVerify, Coruna agrupa 23 fallos de seguridad en iOS en cinco cadenas de ataque completas y se ha usado primero en campañas de espionaje y después en operaciones de robo de criptomonedas dirigidas a usuarios de habla china. Apple ha corregido las vulnerabilidades en las versiones más recientes de iOS, pero durante meses el kit ha explotado a gran escala móviles con iOS 13 a 17.2.1, lo que en gran medida explica por qué los expertos lo tratan como un antes y un después en la seguridad del iPhone.
Qué es Coruna y cómo ataca a los iPhone
Coruna es lo que los especialistas llaman un kit de exploits para iOS. En la práctica es un conjunto de programas que se encadenan para aprovechar errores desconocidos del sistema y pasar de una simple página web abierta en Safari a controlar el móvil entero, fotos, notas y aplicaciones incluidas.
El ataque se lanza cuando el usuario visita una página preparada, donde un código oculto comprueba qué modelo de iPhone y versión de iOS tiene la víctima y elige la combinación de fallos que mejor encaja. Si el teléfono no está actualizado y no tiene activado el modo de bloqueo de Apple (Lockdown Mode), la cadena va escalando privilegios hasta instalar de forma silenciosa un implante capaz de robar información y de cargar módulos extra centrados en monederos de criptomonedas y otros datos sensibles.
De herramienta de espionaje a campaña de robo masivo
El rastro de Coruna arranca en febrero de 2025, cuando el equipo de inteligencia de amenazas de Google detectó partes de la cadena de ataque en uso por un cliente de una empresa de vigilancia comercial. Meses después, una versión más completa apareció escondida en componentes de conteo de visitas en sitios web ucranianos y se atribuyó a un grupo de espionaje ruso que seleccionaba a ciertas personas que visitaban esas páginas. La compañía iVerify describe este salto desde el mundo del spyware comercial hasta campañas abiertas como la primera explotación masiva de móviles por un grupo criminal que usa herramientas construidas probablemente por un estado y la compara con un “momento EternalBlue” en el mundo móvil.
A finales de año, el mismo kit reapareció en cientos de sitios falsos en chino sobre criptomonedas y juegos de azar, donde se ofrecían supuestos servicios financieros y se invitaba a entrar desde un iPhone. Allí Coruna cargaba un implante que buscaba frases de recuperación y datos de monederos digitales, además de fotos y en algunos casos correos electrónicos, y los enviaba a servidores de mando y control; a partir del volumen de conexiones, iVerify calcula que en solo una de esas campañas pudieron verse comprometidos alrededor de 42.000 dispositivos.
Sospechas sobre su origen y el mercado de exploits
Desde el principio llamó la atención el acabado del código de Coruna, escrito en inglés y con una estructura modular muy cuidada que recuerda a marcos de ataque de nivel estatal. El cofundador de iVerify, Rocky Cole, sostiene que el kit es tan sofisticado y caro de desarrollar que encaja con otros módulos atribuidos públicamente a gobiernos angloparlantes y que reutiliza componentes vistos en Operation Triangulation, una campaña contra iOS investigada en detalle por la firma rusa de ciberseguridad Kaspersky en 2023. En sus palabras se trata de “herramientas muy probablemente estadounidenses” que se han descontrolado y han pasado a manos de adversarios y ciberdelincuentes.
El camino de Coruna también apunta a un mercado gris de intermediarios que compran y venden vulnerabilidades de día cero, fallos que aún no han sido corregidos por los fabricantes. Un caso reciente es el de Peter Williams, antiguo directivo de la compañía de defensa Trenchant, condenado en Estados Unidos a siete años de prisión por robar y vender componentes de exploits a un intermediario ruso que revendía herramientas de hacking a gobiernos y otros clientes, lo que ilustra hasta qué punto estas capacidades pueden acabar fuera de control.
Qué pueden hacer ahora los usuarios de iPhone
La buena noticia es que las vulnerabilidades conocidas que explota Coruna ya están parcheadas en las últimas versiones de iOS, por lo que actualizar el teléfono reduce de forma clara el riesgo. Para quienes siguen en iOS 13 a 17.2.1, los investigadores recomiendan actualizar en cuanto sea posible, activar el modo de bloqueo en móviles especialmente sensibles y evitar navegar con Safari por webs de contenido adulto o de criptomonedas que lleguen por enlaces sospechosos.
En la práctica, esto significa que la seguridad del móvil ya no depende solo de lo que haga Apple, sino también de cómo se regulan y se controlan las herramientas de espionaje que compran los gobiernos y las empresas. Al final del día, la historia de Coruna recuerda que cualquier usuario que mira el móvil en el metro puede convertirse sin saberlo en objetivo de una operación pensada para jefes de Estado o diplomáticos, y que cerrar ese hueco exigirá algo más que parches puntuales.
El informe original sobre Coruna se ha publicado en el blog de seguridad de Google Cloud.
