Investigadores de seguridad advierten que un exploit para iPhone en Coruna afecta a las billeteras de criptomonedas
En Resumen
Investigadores de ciberseguridad han descubierto el kit de explotación Coruna, un sofisticado kit de herramientas que ataca a los iPhones con iOS 13-17.2.1 para robar credenciales de billeteras de criptomonedas a través de múltiples vulnerabilidades de día cero.
Investigadores en ciberseguridad han descubierto un potente kit de herramientas de hacking que puede eludir el sistema de seguridad de los iPhones de Apple y robar criptomonedas del monedero del usuario. El kit de explotación, llamado Coruna, aprovecha varias vulnerabilidades del sistema operativo móvil de Apple y ya se ha empleado en actividades de espionaje y cibercrimen con fines lucrativos.
Los investigadores de seguridad de Google Threat Intelligence Group descubrieron que el framework Coruna contiene 23 exploits diferentes agrupados en múltiples cadenas de ataque que permiten a los hackers atacar dispositivos con versiones anteriores del software móvil de Apple. Tras su implementación, el malware escanea los dispositivos con datos confidenciales, como la billetera de criptomonedas y las credenciales bancarias.
El hallazgo subraya los crecientes riesgos para los consumidores de criptomonedas que usan billeteras móviles para almacenar activos digitales. Con la creciente popularidad de las aplicaciones de comercio móvil y finanzas descentralizadas, los atacantes están empezando a utilizar los teléfonos inteligentes como punto de acceso a fondos digitales.
Un sofisticado conjunto de herramientas con múltiples rutas de ataque
El kit de explotación Coruna se considera una de las estructuras de ataque para iPhone más sofisticadas jamás reportadas públicamente. Expertos en seguridad indican que este kit puede atacar dispositivos con versiones del sistema operativo de Apple, incluyendo iOS 13 a iOS 17.2.1, aplicable a los iPhones lanzados entre 2019 y finales de 2023.
En lugar de tener una sola vulnerabilidad, Coruna combina 23 exploits diferentes en 5 cadenas de ataque completas, lo que le permite superar varios niveles de protección de seguridad en Apple.
En muchos casos, el ataque no requiere interacción alguna, ya que solo implica visitar un sitio malicioso. Tras cargar la página comprometida en un dispositivo vulnerable, el código de explotación oculto se ejecuta automáticamente, lo que permite al atacante tomar el control del teléfono e instalar malware.
Primero, toma las huellas digitales del dispositivo para determinar el modelo de iPhone y el tipo de sistema operativo. Luego, elige la cadena de exploits adecuada para vulnerar las medidas de seguridad e instalar software malicioso.
Las billeteras cripto se convierten en un objetivo principal
Una vez comprometido el dispositivo, el malware busca robar datos valiosos, especialmente credenciales de criptomonedas. Según los investigadores, el implante escanea mensajes, notas y datos de aplicaciones para encontrar palabras clave basadas en frases de recuperación de criptomonedas.
El malware busca específicamente las palabras "frase mnemotécnica", "frase de respaldo" y "cuenta bancaria", generalmente asociadas con programas de recuperación de billetera. Al descubrir estas frases, los atacantes pueden usarlas para recuperar la billetera de la víctima en otro dispositivo y tener acceso total al dinero.
Según los investigadores, el kit de explotación apunta a numerosas aplicaciones populares de billetera descentralizada, como plataformas que vinculan a los usuarios con protocolos financieros descentralizados y plataformas comerciales.
Los informes indican que al menos 18 aplicaciones de criptomonedas permitirían este tipo de extracción de datos al instalarse en los dispositivos comprometidos. Tras recopilar datos confidenciales, el malware los transmite a servidores remotos de comando y control controlados por los atacantes para vaciar las billeteras de los usuarios afectados en poco tiempo.
De herramienta de espionaje a arma criminal
La forma en que el kit de explotación Coruna se propagó a diversos actores de amenazas es uno de los problemas más alarmantes. Según los investigadores, el framework se detectó por primera vez en 2025 como parte de actividades de vigilancia dirigida asociadas con un cliente de un software espía comercial.
Además, ese mismo año, la misma infraestructura de explotación se utilizó en los llamados ataques "watering hole" a sitios web ucranianos, en un ataque orquestado por un supuesto grupo de espionaje ruso.
En 2025, el conjunto de herramientas resurgió en operaciones centradas en lo financiero por parte de organizaciones cibercriminales con sitios de apuestas y criptomonedas falsos.
Los investigadores de seguridad suponen que los hackers instalaron el kit de explotación en cientos de sitios web fraudulentos, donde se infectaron decenas de miles de dispositivos y robaron la información de los usuarios sobre las billeteras de criptomonedas. El desarrollo del kit de herramientas demuestra cómo las mejores tecnologías de ciberespionaje podrían finalmente llegar al resto del ecosistema criminal.
Un mercado en crecimiento para exploits de día cero
Los analistas de seguridad señalan que Coruña es un indicador de una tendencia aún mayor en el sector de la ciberseguridad: el desarrollo de un mercado clandestino de equipos avanzados de piratería.
Los marcos de explotación más sofisticados creados por los gobiernos para espiar a sus ciudadanos o recopilar datos de inteligencia a veces llegan a manos de vendedores individuales o mercados negros y, finalmente, caen en manos de cibercriminales.
Recientemente se ha informado de que Coruna puede llegar a compararse con los anteriores esfuerzos de vigilancia de alto perfil del iPhone, como la Operación Triangulación, que explotó vulnerabilidades aún no reveladas para comprometer los dispositivos de Apple.
El hecho de que estas herramientas hayan pasado del ámbito del espionaje al cibercrimen financiero es preocupante, teniendo en cuenta que los exploits avanzados pueden llegar a los mercados clandestinos muy rápidamente.
Los dispositivos de Apple no son inmunes a los ataques a gran escala
A lo largo de los años, el ecosistema móvil de Apple se ha considerado más seguro en comparación con la mayoría de los sistemas rivales debido a un entorno de aplicaciones altamente restrictivo y un sistema cerrado de hardware y software.
Sin embargo, casos como el de Coruña demuestran que los sistemas más seguros pueden ser vulnerados si los atacantes consiguen acceder a más de una vulnerabilidad de día cero.
El diseño del kit de explotación es especialmente preocupante, según los analistas de seguridad, ya que permitirá el término explotación masiva y no vigilancia dirigida. Un solo sitio malicioso infectaría cualquier equipo vulnerable que lo visite.
Según los expertos, esto es particularmente peligroso para quienes usan criptomonedas y utilizan regularmente aplicaciones descentralizadas, páginas de reclamo de tokens o proveedores de servicios comerciales de terceros. como estafas de criptomonedas seguir creciendo.
Medidas de protección y respuesta de Apple
Afortunadamente, los investigadores indican que en las versiones más recientes de su sistema operativo, Apple ya abordó las vulnerabilidades que Coruna explotó.
No se sospecha que el exploit kit pueda afectar a usuarios con las últimas versiones de iOS. Los equipos de seguridad han recomendado a los usuarios de iPhone que actualicen sus teléfonos a la última versión de iOS de inmediato. Las vulnerabilidades que permitieron a Coruna acceder al sistema inicialmente se eliminan con la actualización.
Para proteger sus dispositivos, los expertos también sugieren activar el Modo de Bloqueo, una opción disponible en los dispositivos Apple que solo permite a los usuarios evitar la intrusión de spyware avanzado si no pueden actualizar sus dispositivos. Coruna, según afirman los investigadores, suspende automáticamente su ejecución si se detecta el Modo de Bloqueo en un dispositivo.
Renuncia de responsabilidad:
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre la autora
Alisa, una dedicada periodista del MPost, se especializa en criptomonedas, IA, inversiones y el amplio campo de Web3. Con buen ojo para las tendencias y tecnologías emergentes, ofrece una cobertura completa para informar e involucrar a los lectores en el panorama en constante evolución de las finanzas digitales.
Más artículos
Alisa, una dedicada periodista del MPost, se especializa en criptomonedas, IA, inversiones y el amplio campo de Web3. Con buen ojo para las tendencias y tecnologías emergentes, ofrece una cobertura completa para informar e involucrar a los lectores en el panorama en constante evolución de las finanzas digitales.
