Google detalla que el kit de exploits para iPhone Coruna es una nueva amenaza para las billeteras de criptomonedas y la seguridad de iOS

Los investigadores de Google han descubierto cómo un kit de exploits avanzado para iPhone, utilizado en múltiples campañas desde 2025, se ha convertido en una arma seria para los atacantes enfocados en criptomonedas.

Google revela el marco Coruna y sus capacidades en iOS

Según un nuevo informe del Grupo de Inteligencia de Amenazas de Google, un potente marco de exploits llamado Coruna está dirigido a usuarios de iPhone mediante una cadena sofisticada de vulnerabilidades. La herramienta contiene cinco cadenas completas de exploits para iOS y 23 vulnerabilidades distintas que pueden comprometer dispositivos que ejecutan iOS 13 hasta iOS 17.2.1.

El kit de exploits para iPhone permite a los atacantes ejecutar código malicioso a través de contenido web, abusando de fallos en el motor de navegador WebKit de Apple y otros componentes centrales. Además, una vez que la víctima abre un sitio web comprometido, el marco identifica inmediatamente el dispositivo, determinando el modelo exacto de iPhone y la versión del software instalado antes de seleccionar la cadena de exploit más efectiva.

Los investigadores explican que, tras obtener acceso inicial, el malware puede entregar cargas útiles adicionales para recolectar datos altamente sensibles. Esto incluye detalles de billeteras de criptomonedas, información financiera y otros registros privados que pueden ser monetizados o utilizados en ataques posteriores.

Desde sitios falsos de criptomonedas hasta recolección masiva de datos

En varias campañas observadas, el marco Coruna se desplegó a través de sitios falsos de juegos de azar y criptomonedas diseñados específicamente para atraer a usuarios de iPhone. Sin embargo, los atacantes también experimentaron con otras páginas de destino temáticamente ajustadas para ampliar su base potencial de víctimas, manteniendo un enfoque fuerte en los poseedores de activos digitales.

La carga maliciosa puede escanear imágenes y archivos almacenados en el dispositivo en busca de palabras clave específicas como “frase de respaldo” o “cuenta bancaria”. Esto permite a los actores de amenazas identificar automáticamente frases de recuperación de billeteras y otros datos financieros, otorgándoles potencialmente acceso directo a las billeteras de criptomonedas y cuentas bancarias de las víctimas.

Una vez que se exfiltran frases de recuperación u otros secretos, los criminales pueden mover fondos fuera de las billeteras comprometidas con poca probabilidad de ser detectados por el propietario del dispositivo hasta que sea demasiado tarde. Además, estos datos recolectados pueden ser revendidos a otros grupos de ciberdelincuencia, multiplicando el impacto potencial.

Evolución desde vigilancia hasta uso por estados y cibercrimen

La investigación de Google indica que el conjunto de herramientas Coruna no se originó en círculos puramente criminales. Apareció por primera vez en 2025 en operaciones de vigilancia dirigidas, donde los operadores parecían centrarse en monitorear a individuos específicos en lugar de robar fondos a gran escala.

Con el tiempo, sin embargo, el kit de exploits para iPhone migró hacia operaciones más agresivas y de alta sensibilidad geopolítica. Posteriormente, se observó en ataques de “watering hole” contra usuarios ucranianos, atribuidos a un grupo de espionaje ruso. En estas campañas, sitios web comprometidos frecuentados por objetivos ucranianos fueron sembrados con exploits impulsados por Coruna.

Finalmente, el mismo kit de exploits fue adoptado por hackers motivados financieramente vinculados a China, marcando un cambio del espionaje clásico hacia un cibercrimen con fines de lucro evidentes. Además, esta progresión ilustra cómo las herramientas diseñadas para recopilación de inteligencia pueden filtrarse rápidamente en ecosistemas criminales más amplios una vez que se filtran o comparten.

Estudio de caso en migración de spyware móvil y riesgo en criptomonedas

Los analistas de seguridad argumentan que Coruna demuestra una tendencia más amplia en el panorama de amenazas cibernéticas. Los marcos de exploits sofisticados, de nivel spyware, están cada vez más migrando de mercados de vigilancia gubernamental o comercial hacia el cibercrimen convencional. Esta migración de spyware móvil difumina la línea entre herramientas de estados-nación y las utilizadas por bandas criminales comunes.

Dado que los teléfonos inteligentes modernos almacenan billeteras de activos digitales, aplicaciones de autenticación y documentación personal, estas herramientas permiten directamente el robo masivo de billeteras de criptomonedas. Además, la convergencia de riesgos de seguridad móvil y objetivos de criptomonedas hace que cualquier dispositivo iOS sin parches y que contenga activos digitales se vuelva un objetivo atractivo.

La presencia de múltiples cadenas de exploits en iOS en un solo marco también genera preocupaciones sobre la reutilización. Una vez que un actor obtiene Coruna, puede reutilizarla en nuevas campañas, ajustando solo los sitios web de atracción o las cargas útiles, dejando intacta la lógica de explotación subyacente.

Medidas de mitigación y la importancia de las actualizaciones de iOS

Los investigadores enfatizan que mantener los dispositivos en las versiones más recientes de iOS sigue siendo una de las defensas más efectivas. Según Google, el marco Coruna no funciona contra las versiones más recientes del software, que han recibido parches para las vulnerabilidades explotadas. Sin embargo, muchos usuarios retrasan las actualizaciones, dejando a iPhones antiguos expuestos durante largos períodos.

Se recomienda a los propietarios de iPhone instalar los parches de seguridad tan pronto estén disponibles, evitar ingresar frases de recuperación o detalles bancarios en aplicaciones de notas o archivos de imagen, y ser cautelosos al visitar sitios de azar o criptomonedas desconocidos. Además, las organizaciones con perfiles de alto riesgo deberían considerar herramientas de detección de amenazas móviles y políticas de navegación más estrictas en dispositivos corporativos.

Desde una perspectiva más amplia, la naturaleza centrada en WebKit de las cadenas de exploits de Coruna subraya cómo un solo exploit en el navegador WebKit puede abrir la puerta a un compromiso completo del dispositivo. Además, refuerza la necesidad de una implementación rápida y coordinada de parches por parte de los proveedores y una adopción pronta por parte de los usuarios finales.

El creciente cruce entre seguridad móvil y activos digitales

El caso Coruna destaca cómo la seguridad del sistema operativo móvil y la protección de activos digitales están cada vez más entrelazados. Con más personas confiando en sus teléfonos para gestionar criptomonedas, mensajería y banca, cualquier kit de exploits avanzado para iPhone tiene implicaciones directas para la seguridad de los fondos.

En conclusión, la historia de campañas rastreada por Google muestra cómo una sola herramienta puede pasar de vigilancia dirigida en 2025 a ataques de watering hole vinculados a estados y, finalmente, a robos motivados por lucro. Además, señala que los defensores deben asumir que marcos similares ya están circulando y priorizar actualizaciones rápidas, almacenamiento seguro de datos de billeteras y monitoreo continuo de amenazas móviles.