Coruna iPhone Exploit Targetea Carteras de Criptomonedas, Advierten los Investigadores de Seguridad

En Resumen

Los investigadores en ciberseguridad han descubierto el kit de explotación Coruna, una herramienta sofisticada que apunta a iPhones con iOS 13–17.2.1 para robar credenciales de billeteras de criptomonedas mediante múltiples vulnerabilidades de día cero.

Los expertos en ciberseguridad han descubierto una potente herramienta de hacking, que puede eludir el sistema de seguridad de los iPhones de Apple y robar criptomonedas de la billetera del usuario. El kit de explotación se llama Coruna y explota varias vulnerabilidades en el sistema operativo móvil de Apple, y ya ha sido utilizado en actividades de espionaje y ciberdelincuencia con fines monetarios.

Los investigadores del Grupo de Inteligencia de Amenazas de Google descubrieron que el marco Coruna tiene 23 diferentes exploits agrupados en múltiples cadenas de ataque que permiten a los hackers atacar dispositivos con versiones antiguas del software móvil de Apple. Tras la implementación, el malware escanea dispositivos en busca de datos sensibles, como credenciales de billeteras de criptomonedas y banca.

Este hallazgo subraya los riesgos crecientes para los consumidores de criptomonedas que usan billeteras móviles para almacenar activos digitales. Con la popularidad creciente de las aplicaciones de comercio móvil y finanzas descentralizadas, los atacantes están comenzando a apuntar a los teléfonos inteligentes como un punto de acceso a fondos digitales.

Una Herramienta Sofisticada con Múltiples Caminos de Ataque

El kit de explotación Coruna es considerado una de las estructuras de ataque a iPhone más sofisticadas reportadas públicamente. Los expertos en seguridad indican que la herramienta puede atacar dispositivos que operan versiones del sistema operativo de Apple, incluyendo iOS 13 a iOS 17.2.1, aplicable a iPhones lanzados entre 2019 y finales de 2023.

En lugar de tener una sola vulnerabilidad, Coruna combina 23 exploits diferentes en 5 cadenas de ataque completas, permitiéndole superar varios niveles de protección de seguridad en Apple.

El ataque, en muchos casos, no requiere interacción alguna, ya que solo implica visitar un sitio malicioso. Después de cargar la página comprometida en un dispositivo vulnerable, el código de exploit oculto se ejecuta automáticamente, permitiendo al atacante tomar control del teléfono e instalar malware.

Primero, identifica el modelo del dispositivo y el tipo de sistema operativo en uso. Luego, selecciona la cadena de exploit adecuada para comprometer las medidas de seguridad e instalar software malicioso.

Las Billeteras de Criptomonedas se Convierten en un Objetivo Principal

Una vez comprometido el dispositivo, el malware busca robar datos valiosos, especialmente credenciales de criptomonedas. Según los investigadores, el implant escanea mensajes, notas y datos de aplicaciones para encontrar palabras clave relacionadas con frases de recuperación de criptomonedas.

El malware busca específicamente palabras como frase mnemónica, frase de respaldo y cuenta bancaria, que generalmente están vinculadas a programas de recuperación de billeteras. Cuando se descubren estas frases, los atacantes pueden usarlas para recuperar la billetera de la víctima en otro dispositivo y tener acceso completo a los fondos.

Los investigadores indican que el kit de explotación apunta a varias aplicaciones populares de billeteras descentralizadas, como plataformas que conectan a los usuarios con protocolos de finanzas descentralizadas y plataformas de comercio.

Los informes señalan que al menos 18 aplicaciones de criptomonedas soportarían este tipo de extracción de datos cuando están instaladas en dispositivos comprometidos. Tras recopilar datos sensibles, el malware transmite la información a servidores remotos controlados por los atacantes, quienes pueden vaciar las billeteras en poco tiempo.

De Herramienta de Espionaje a Arma Criminal

Una de las cuestiones más alarmantes sobre el kit de explotación Coruna es cómo se ha difundido entre diversos actores de amenazas. Según los investigadores, el marco fue detectado por primera vez en 2025 como parte de actividades de vigilancia dirigida relacionadas con un cliente de spyware comercial.

Ese mismo año, la misma infraestructura de explotación fue utilizada en ataques conocidos como watering hole en sitios web ucranianos, en una operación orquestada por un supuesto grupo de espías ruso.

Para 2025, el kit reapareció en operaciones con fines financieros por parte de organizaciones cibercriminales, usando sitios falsos de criptomonedas y apuestas.

Los expertos en seguridad suponen que los hackers instalaron el kit en cientos de sitios web falsos, infectando decenas de miles de dispositivos y robando información de los usuarios sobre sus billeteras de criptomonedas. El desarrollo de esta herramienta muestra cómo las mejores tecnologías de ciberespionaje pueden terminar en el ecosistema criminal.

Un Mercado en Crecimiento para Exploits de Día Cero

Los analistas de seguridad señalan que Coruna refleja una tendencia aún mayor en el sector de ciberseguridad: el desarrollo de un mercado clandestino de herramientas avanzadas de hacking.

Frameworks de explotación más sofisticados, creados por gobiernos para espiar a sus ciudadanos o recopilar inteligencia, ocasionalmente terminan en manos de vendedores individuales o mercados negros, y finalmente en manos de cibercriminales.

Recientemente se ha reportado que Coruna puede compararse con esfuerzos de vigilancia de alto perfil anteriores, como la Operación Triangulación, que explotó vulnerabilidades aún no divulgadas para comprometer dispositivos Apple.

El hecho de que estas herramientas hayan salido del ámbito del espionaje para ser usadas en cibercrimen financiero es preocupante, ya que las vulnerabilidades avanzadas pueden llegar rápidamente a los mercados clandestinos.

Dispositivos Apple No Son Inmunes a Ataques Masivos

A lo largo de los años, el ecosistema móvil de Apple ha sido considerado más seguro en comparación con otros sistemas rivales, debido a un entorno de aplicaciones altamente restrictivo y un sistema cerrado de hardware y software.

No obstante, casos como Coruna demuestran que incluso los sistemas más seguros pueden ser vulnerados si los atacantes logran acceder a más de una vulnerabilidad de día cero.

El diseño del kit de explotación es especialmente preocupante, según los analistas, ya que permite la explotación masiva y no solo dirigida. Un solo sitio malicioso puede infectar cualquier máquina susceptible que lo visite.

Los expertos advierten que esto es particularmente peligroso para quienes usan criptomonedas y aplicaciones descentralizadas, páginas de reclamación de tokens o proveedores de servicios de trading de terceros, ya que las estafas con criptomonedas siguen en aumento.

Medidas de Protección y Respuesta de Apple

Afortunadamente, los investigadores indican que en las versiones más recientes de su sistema operativo, Apple ya abordó las vulnerabilidades explotadas por Coruna.

No se sospecha que el kit de explotación pueda afectar a los usuarios que tengan las últimas versiones de iOS. Se recomienda a los usuarios de iPhone actualizar sus dispositivos a la última versión de iOS de inmediato. La actualización elimina las vulnerabilidades que permitían a Coruna acceder al sistema en primer lugar.

Para proteger sus dispositivos, los expertos también sugieren activar el Modo de Bloqueo, una opción en los dispositivos Apple que permite a los usuarios evitar intrusiones avanzadas de spyware en caso de no poder actualizar sus dispositivos. Según los investigadores, Coruna suspende automáticamente su funcionamiento si detecta que el Modo de Bloqueo está activado en un dispositivo.