Alerta de seguridad del iPhone: El ataque a Coruña apunta a frases de recuperación de carteras cripto

• Investigadores de Google descubrieron que el kit de explotación Coruna está dirigido a iPhones con versiones 13–17 de iOS.
• El kit contiene 23 exploits y cinco cadenas completas atacando dispositivos Apple.
• Los hackers utilizaron sitios web comprometidos y páginas falsas de criptomonedas para infectar iPhones objetivo.

Un sofisticado conjunto de herramientas de hacking capaz de acceder a iPhones de Apple ha surgido en operaciones de espionaje y campañas de ciberdelitos financieros, mostrando cómo la tecnología avanzada de vigilancia puede acabar extendiéndose a un uso criminal más amplio.

Investigadores de Google Threat Intelligence Group afirma que el kit de exploits, denominado internamente «Coruña», está dirigido a iPhones con iOS versiones 13.0 a 17.2.1, cubriendo dispositivos lanzados entre 2019 y finales de 2023.

El kit de herramientas contiene cinco cadenas completas de exploits y 23 vulnerabilidades separadas, lo que permite a los atacantes romper múltiples capas del sistema de seguridad de Apple y tomar el control de un dispositivo.

Cómo funcionaron los ataques

El kit de explotación Coruña utiliza un sofisticado ataque basado en la web. Cuando un usuario visita un sitio web comprometido, primero escanea el dispositivo con código JavaScript oculto para determinar el modelo del iPhone y la versión del sistema operativo.

Con base en esa información, el ataque carga automáticamente la cadena de exploits correcta.

Una de las vulnerabilidades clave utilizadas en los ataques fue CVE-2024-23222, un fallo de WebKit que Apple solucionó posteriormente en iOS 17.3.

La cadena de exploits luego evita varias protecciones integradas en iOS, instalando finalmente un cargador que se comunica con servidores de comandos y control remotos.

Relacionado: Los mercados cripto se mantienen firmes mientras el riesgo geopolítico afecta a las acciones y al petróleo

El inusual viaje del ataque

Lo que hace especialmente notable a Coruña es cómo apareció en operaciones cibernéticas muy diferentes a lo largo de 2025.

Principios de 2025: Uso de la vigilancia

Las primeras pistas se descubrieron en febrero de 2025, cuando los investigadores observaron a un cliente de un proveedor comercial de vigilancia utilizando parte de la cadena de exploits. El ataque utilizó un marco JavaScript personalizado con técnicas de ofuscación diseñadas para ocultar el código de explotación.

Mediados de 2025: Operaciones de espionaje

Para el verano de 2025, el mismo marco apareció en múltiples sitios web ucranianos comprometidos.

Los scripts maliciosos se insertaban en las páginas mediante iframes ocultos, lanzando ataques dirigidos a los iPhones de los visitantes. Los analistas de seguridad creen que estas operaciones estaban vinculadas a un presunto grupo de espionaje ruso.

Finales de 2025: Delitos financieros

Más adelante ese año, los investigadores descubrieron que el kit completo de explotación se estaba desplegando en cientos de sitios web financieros y de criptomonedas chinos falsos.

Dirigirse a las carteras cripto

A diferencia de muchas herramientas de vigilancia que se centran en monitorizar las comunicaciones, la carga útil final de Coruña parece diseñada para robar información financiera.

El malware escanea el dispositivo en busca de:

• Términos de recuperación de criptomonedas
• Archivos de copia de seguridad de la cartera
• Detalles bancarios
• Texto sensible almacenado en Apple Notes

A pesar de su complejidad, el kit de explotación ya no funciona en las versiones más recientes de iOS. Los expertos en seguridad recomiendan que los usuarios de iPhone actualicen sus dispositivos de inmediato y activen protecciones avanzadas como el Modo Bloqueo si creen que pueden ser objetivo.

Relacionado: El CEO de Goldman Sachs dice que las tensiones en Oriente Medio podrían presionar a las criptomonedas durante semanas