Por Angel Di Matteo 𝕏 @shadowargelUn kit de explotación capaz de comprometer iPhones con software antiguo cambió de manos: lo que Google observó primero en un intento de vigilancia para un cliente gubernamental, terminó reapareciendo en campañas a gran escala y en ataques con motivación económica. El caso reabre un debate incómodo: cuando las “armas digitales” se filtran, el mercado las recicla y la factura la pagan usuarios y empresas.
***
- Google identificó el kit “Coruna” en febrero de 2025 durante un intento de hackeo asociado a un proveedor de vigilancia que actuaba para un cliente gubernamental.
- El mismo kit reapareció meses después en una campaña contra usuarios ucranianos atribuida a un grupo de espionaje ruso, y más tarde en manos de un actor con motivación económica en China.
- Coruna encadena 23 vulnerabilidades y puede comprometer iPhones desde iOS 13 hasta iOS 17.2.1 mediante ataques tipo “pozo de agua” con solo visitar un sitio malicioso.
Investigadores de seguridad identificaron un conjunto de herramientas de hackeo capaz de comprometer iPhones de Apple que ejecutan software más antiguo. La alerta principal no solo apunta a la potencia del kit, sino a su trayectoria: según los hallazgos, estas herramientas habrían pasado de un cliente gubernamental a manos de ciberdelincuentes.
Google informó que identificó por primera vez este kit, llamado Coruna, en febrero de 2025. El hallazgo ocurrió durante un intento de un proveedor de vigilancia por hackear el teléfono de una persona e instalar spyware, actuando en nombre de un cliente gubernamental.
Meses después, Google volvió a encontrar el mismo kit, pero en un contexto distinto. Esta vez se dirigía a usuarios ucranianos en una campaña a gran escala atribuida a un grupo de espionaje ruso.
La cadena de reutilización no se detuvo ahí. Posteriormente, el kit también fue utilizado por un hacker con motivación económica en China, lo que sugiere un salto desde operaciones de inteligencia hacia usos con fines de lucro.
Cómo funciona Coruna: “pozo de agua” y 23 vulnerabilidades encadenadas
De acuerdo con TechCrunch, Google describió a Coruna como un conjunto de herramientas particularmente poderoso por su forma de eludir defensas del iPhone. El ataque puede ejecutarse con solo visitar un sitio web malicioso que contiene el código de explotación, por ejemplo, al abrir un enlace recibido. Este patrón se conoce como ataque de “pozo de agua”.
De acuerdo con Google, Coruna puede hackear un iPhone de cinco maneras diferentes. Para lograrlo, se apoya en confiar y encadenar 23 vulnerabilidades separadas dentro de su arsenal digital.
El rango de dispositivos afectados abarca modelos de iPhone que ejecutan iOS 13 hasta iOS 17.2.1. Esta última versión fue lanzada en diciembre de 2023, por lo que el problema no se limita a sistemas operativos muy antiguos.
En términos prácticos, el caso ilustra por qué la seguridad móvil se volvió un tema crítico también para el mundo financiero. Muchos usuarios gestionan cuentas bancarias, wallets de criptomonedas y autenticación de dos factores desde el teléfono, y un compromiso del dispositivo puede derivar en robo de credenciales, suplantación y movimientos no autorizados.
El mercado emergente de exploits “de segunda mano”
No está claro cómo se filtraron o proliferaron las herramientas. Sin embargo, los investigadores de Google advirtieron sobre un mercado emergente para exploits “de segunda mano”, donde vulnerabilidades ya utilizadas por actores sofisticados se revenden o reaprovechan para extraer más valor.
En ese mercado, un exploit deja de ser un activo exclusivo de un actor con presupuesto estatal y pasa a circular con distintos niveles de acceso. En la práctica, esto baja barreras de entrada y amplía el universo de víctimas potenciales, sobre todo cuando los ataques se empaquetan como kits listos para usar.
La idea de “segunda mano” también sugiere un ciclo de vida más largo para herramientas de intrusión. Incluso cuando un exploit pierde exclusividad, todavía puede resultar rentable si existe una base de dispositivos sin actualizar o si la cadena de vulnerabilidades mantiene valor operativo.
Para usuarios y organizaciones, el riesgo se agrava cuando la higiene de actualización falla. En entornos corporativos, los iPhones pueden quedarse rezagados por compatibilidades, políticas internas o falta de gestión de parches, lo que abre ventanas de exposición aprovechables por campañas oportunistas.
De herramientas estatales a abuso criminal: la advertencia de iVerify
El descubrimiento refuerza una tesis que incomoda a la ciberseguridad: los exploits y puertas traseras diseñados para ser utilizados por gobiernos pueden filtrarse y terminar en manos de actores no estatales. iVerify, una compañía de seguridad móvil que obtuvo y revirtió las herramientas de hackeo, dijo en una publicación de blog que vinculó el kit Coruna al gobierno de Estados Unidos.
Según iVerify, esa vinculación se basa en similitudes con herramientas de hackeo previamente atribuidas a Estados Unidos. La empresa también dejó una advertencia sobre la dinámica de filtración: “Cuanto más generalizado sea el uso, más certeza hay de que ocurrirá una filtración”.
La misma publicación agregó un matiz importante: iVerify dijo tener algunas evidencias de que se trata de un marco del gobierno estadounidense filtrado, pero pidió no perder de vista el punto central. En sus palabras, estas herramientas encontrarán su camino “en la naturaleza” y serán usadas de forma inescrupulosa por actores maliciosos.
Este patrón tiene implicaciones para el debate público sobre vigilancia y ciberarmas. En especial, cuando el “control” de una herramienta depende de contratistas, brokers o cadenas de suministro digitales, los incentivos económicos y geopolíticos pueden acelerar su dispersión, incluso si inicialmente se diseñó para objetivos “dirigidos”.
Operación Triangulación, Kaspersky y un antecedente de 2023
El kit Coruna también fue relacionado con componentes vistos en una campaña previa. Según reportó Wired, Coruna contiene partes utilizadas antes en una operación de hackeo conocida como Operación Triangulación.
En 2023, la firma de ciberseguridad Kaspersky afirmó que el gobierno de Estados Unidos intentó hackear varios iPhones pertenecientes a sus empleados. Ese antecedente da contexto a la tensión entre acusaciones, atribuciones y la dificultad de establecer responsabilidades de manera definitiva.
En general, la atribución en ciberseguridad suele apoyarse en patrones técnicos y operativos. Aun así, el caso Coruna destaca menos por quién lo originó y más por lo que ocurrió después: la reutilización por actores distintos y con fines diferentes.
Para lectores del mundo cripto y de mercados, el mensaje es claro: la sofisticación de un exploit no garantiza que su uso quede restringido a un ámbito estatal. Cuando se filtra, el riesgo se democratiza y puede materializarse en estafas, robo de datos o extorsión digital.
Filtraciones raras, pero con precedentes: EternalBlue y WannaCry
Las filtraciones de herramientas de hackeo son raras, pero no desconocidas. En 2017, se descubrió que herramientas desarrolladas por la Agencia de Seguridad Nacional de Estados Unidos para hackear computadoras Windows en todo el mundo habían sido robadas.
La puerta trasera de Windows, conocida como EternalBlue, fue publicada posteriormente y terminó utilizada por ciberdelincuentes en ataques posteriores. Entre ellos destacó el ataque de ransomware WannaCry de 2017 atribuido a Corea del Norte.
Ese episodio funciona como espejo para entender el caso Coruna. Un exploit que en manos “selectas” puede enfocarse en blancos específicos, al filtrarse puede volverse infraestructura para ataques masivos, con impactos en empresas, hospitales, gobiernos y usuarios comunes.
En seguridad informática, estos eventos alimentan una discusión persistente: el balance entre acumular vulnerabilidades para operaciones ofensivas versus divulgar fallas a fabricantes para su corrección. En el caso citado, los daños sociales y económicos demostraron cuán caro resulta ese intercambio cuando el control se pierde.
Venta de exploits y cadena de intermediarios: el caso Peter Williams
El reporte también recordó un caso reciente que ilustra cómo estas “armas digitales” pueden salir de circuitos controlados. TechCrunch informó sobre Peter Williams, exjefe del contratista de defensa de Estados Unidos L3Harris Trenchant.
Williams fue sentenciado a más de siete años de prisión tras declararse culpable de robar y vender ocho exploits a un broker conocido por trabajar con el gobierno ruso. El caso expone el papel de intermediarios que conectan oferta técnica con demanda estatal o paraestatal.
Según los fiscales, Williams vendió exploits capaces de hackear “millones de computadoras y dispositivos” en todo el mundo. Al menos un exploit fue vendido a un broker de Corea del Sur.
No está claro si esos exploits alguna vez fueron divulgados a los fabricantes de software o parchados. Esa incertidumbre agrega una capa de riesgo para usuarios y empresas, porque un exploit no divulgado puede seguir circulando y reaparecer, incluso años después, con nuevos empaques y nuevos operadores.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Super PACs de Silicon Valley gastan millones contra Alex Bores por su ley de transparencia en IA
Donald Knuth asombrado: Claude Opus 4.6 resuelve problema abierto de ciencias de la computación
Ray Dalio alerta por deuda de EE. UU. y el salto del oro: ¿por qué bitcoin no actuó como refugio?
