Un kit de intrusión para iPhone se fuga del ámbito gubernamental y pone en riesgo a usuarios
Un paquete avanzado de exploits para iPhone, conocido como Coruna, ha dejado de ser una herramienta exclusiva de clientes estatales Según análisis de Google y la firma de ciberseguridad iVerify, la suite aprovecha una cadena compleja de fallos en versiones antiguas de iOS y puede comprometer un dispositivo simplemente con la visita a una página web maliciosa.
Qué es Coruna y cómo opera
Coruna agrupa 23 vulnerabilidades que se encadenan en cinco rutas de explotación completas. En la práctica, un atacante puede pasar de ejecutar código en el navegador a instalar software con privilegios elevados en el dispositivo. El vector más habitual es una página o enlace comprometido que ejecuta JavaScript para identificar el modelo y la versión de iOS del objetivo; si el dispositivo es vulnerable, se desencadena la cadena de exploits.
Las versiones afectadas van desde iOS 13 hasta iOS 17.2.1. Apple introdujo el Modo de bloqueo para reducir vectores de ataque en usuarios de alto riesgo, y cuando está activo puede interrumpir estas explotaciones. La mayoría de los fallos explotados apuntan a WebKit, el motor detrás de Safari y muchas vistas web en aplicaciones.
Diseño modular y reutilizable
El kit muestra un diseño modular y pulido, lo que sugiere la mano de un autor solitario metódico o de un equipo bien coordinado.
Esa estructura facilita adaptar módulos a distintos modelos de iPhone, variar rutas de explotación y sustituir componentes cuando emergen parches. Además, al disponer de múltiples cadenas de ataque, Coruna puede reutilizarse en campañas separadas y escalar con rapidez.
Origen, filtración y expansión
Google ubicó el código por primera vez en una detección de febrero de 2026: una firma de vigilancia intentó usar el exploit para un cliente gubernamental. Meses después apareció una versión más completa empleada en una campaña dirigida a usuarios en Ucrania, atribuida a un grupo de espionaje ruso.
Posteriormente surgió una variante con fines lucrativos en sitios en chino destinada al robo de criptomonedas.
iVerify, tras ingeniería inversa, detectó similitudes con módulos ligados a la operación Triangulation, lo que apunta a un posible origen en herramientas desarrolladas para o por gobiernos. Sin embargo, la ruta exacta por la que la suite salió del circuito cerrado no puede confirmarse: podría haber intervenido un intermediario, la venta en mercados secundarios de exploits o una filtración interna.
Por qué esto no es nuevo — y por qué importa
La historia recuerda a EternalBlue, el exploit de Windows que, tras ser robado y publicado en 2017, desencadenó ataques globales como WannaCry. Cuando una herramienta de alto poder queda en circulación, su impacto se multiplica: se modifica, se reempaqueta y termina en manos más diversas y peligrosas.
Recomendaciones prácticas
Usuarios:
– Mantener iOS actualizado a la versión más reciente que ofrezca Apple.
– Activar el Modo de bloqueo si el dispositivo maneja información sensible o el usuario está en un entorno de riesgo.
– Evitar hacer clic en enlaces desconocidos y desconfiar de descargas desde fuentes no oficiales.
Empresas:
– Imponer actualizaciones de seguridad y controles de acceso a dispositivos corporativos.
– Monitorizar tráfico inusual y emplear soluciones que inspeccionen cargas web sospechosas.
– Formar al personal en identificación de enlaces y mensajes de phishing.
Un paquete avanzado de exploits para iPhone, conocido como Coruna, ha dejado de ser una herramienta exclusiva de clientes estatales Según análisis de Google y la firma de ciberseguridad iVerify, la suite aprovecha una cadena compleja de fallos en versiones antiguas de iOS y puede comprometer un dispositivo simplemente con la visita a una página web maliciosa.0
Un paquete avanzado de exploits para iPhone, conocido como Coruna, ha dejado de ser una herramienta exclusiva de clientes estatales Según análisis de Google y la firma de ciberseguridad iVerify, la suite aprovecha una cadena compleja de fallos en versiones antiguas de iOS y puede comprometer un dispositivo simplemente con la visita a una página web maliciosa.1
