Un kit de hackeo de iPhones de nivel gubernamental (llamado Coruna) se ha filtrado o ha cambiado de manos y ahora lo están usando ciberdelincuentes para atacar masivamente a usuarios comunes. Es algo rarísimo y preocupante en el mundo de la ciberseguridad.
–
¿Qué es Coruna y de dónde salió?
- Es un exploit kit súper sofisticado: un conjunto de herramientas que aprovecha 23 vulnerabilidades diferentes en iOS (desde versiones antiguas como iOS 13 hasta iOS 17.2.1).
- Incluye cinco cadenas completas de exploits que permiten hackear un iPhone solo con que la víctima visite un sitio web malicioso (ataque tipo “watering hole” o “drive-by download”). Instala malware silenciosamente, sin que el usuario haga clic en nada extra.
–
- Google Threat Intelligence Group (GTIG) y la firma de seguridad móvil iVerify lo descubrieron y publicaron reportes independientes ayer (3 de marzo). Lo llaman el primer ataque masivo conocido de este tipo contra iOS por criminales usando herramientas de este nivel.
- Hay evidencia fuerte (por el estilo del código, módulos similares y comentarios en inglés) de que fue desarrollado por o para el gobierno de EE.UU. (posiblemente contratistas de la NSA o agencias similares). iVerify dice que “lleva las huellas de herramientas atribuidas públicamente al gobierno estadounidense” y que costó millones desarrollarlo.
–
¿Cómo se filtró y quién lo está usando ahora?
El camino del kit ha sido una locura (como un “EternalBlue moment” para móviles, comparan con el leak de la NSA en 2017 que creó WannaCry):
- Febrero 2025: Google lo ve por primera vez en un intento de un vendedor de spyware (vigilancia) hackeando a alguien para un cliente gubernamental.
- Julio 2025: Una versión más completa aparece en una campaña de espionaje rusa (grupo sospechoso de ser espías rusos) contra usuarios ucranianos. Lo escondieron en componentes de conteo de visitantes en sitios web ucranianos comprometidos.
- Diciembre 2025 / ahora 2026: Lo usan ciberdelincuentes chinos (motivados por dinero) en sitios falsos de criptomonedas, apuestas y exchanges crypto en chino. Infectan para robar wallets de cripto, fotos, emails, etc. Se estima que solo en una campaña criminal infectaron ~42,000 dispositivos.
–
Es como si el kit hubiera pasado por un “mercado de segunda mano” de exploits: de gobiernos → espías extranjeros → criminales puros. Google advierte que hay un mercado emergente de exploits “usados” de este calibre.¿A quién afecta y qué tan grave es?
- Principalmente a iPhones con versiones antiguas de iOS (hasta 17.2.1). Si tienes iOS 18 o superior (especialmente la actualización reciente iOS 26 que parcheó varias de estas fallas), estás mucho más protegido.
- No es para todos: Apple y expertos dicen que la mayoría de usuarios nunca serán objetivo de algo tan caro y sofisticado. Pero ahora que está en manos de criminales, es más indiscriminado (cualquiera que visite un sitio infectado puede caer).
- El malware criminal es “mal escrito” comparado con la parte gubernamental (que es “impresionantemente profesional y modular”).
¿Qué hacer si usas iPhone?
- Actualiza YA a la última versión de iOS (ve a Ajustes > General > Actualización de software).
- Activa Lockdown Mode si eres de alto riesgo (periodistas, activistas, etc.).
- Evita sitios sospechosos, especialmente de crypto o apuestas dudosas.
- Usa antivirus/móvil security como iVerify o similares si quieres monitorear.
Es un recordatorio brutal de que herramientas creadas para “seguridad nacional” a veces se salen de control y terminan en el mercado negro. Similar a lo que pasó con Pegasus de NSO, pero esta vez parece origen gringo y ahora masivo.
Add Comment