Apple ha movido ficha para proteger a modelos más antiguos de iPhone y iPad tras la detección de un kit de explotación que aprovechaba fallos en el motor de navegación WebKit. La compañía ha reintroducido correcciones que ya estaban presentes en versiones recientes del sistema operativo y las ha empacado en actualizaciones para dispositivos que no pueden instalar la última versión de iOS.
El fallo principal vinculado a esta ronda de parches aparece en la base de datos de vulnerabilidades como CVE-2023-43010, y se describe como una debilidad en WebKit que podía provocar corrupción de memoria al procesar contenido web manipulado con fines maliciosos. Según Apple, la solución pasa por un mejor manejo interno del motor que evita que páginas o scripts especialmente diseñados desencadenen ese comportamiento no deseado.
Inicialmente, la corrección para este problema se publicó en versiones relativamente nuevas —entre ellas iOS 17.2, iPadOS 17.2 y macOS Sonoma 14.2—, y ahora ha sido “retroportada” a ramas anteriores del sistema para alcanzar terminales que ya no pueden actualizarse a las ediciones más recientes. Apple ha detallado estos parches en sus páginas de soporte oficiales, por ejemplo en las notas de iOS 17.2 y iPadOS 17.2, macOS Sonoma 14.2 y Safari 17.2, así como en los avisos específicos para las versiones más antiguas iOS 15.8.7 y iPadOS 15.8.7 y iOS 16.7.15 y iPadOS 16.7.15.
La actualización que afecta a iOS 15.8.7 y iPadOS 15.8.7 no se limita a CVE-2023-43010: incluye parches para varias vulnerabilidades adicionales que estaban siendo explotadas dentro del mismo marco de ataque. Entre ellas figuran CVE-2023-43000, descrita como un “use-after-free” en WebKit; CVE-2023-41974, un problema de use-after-free en el kernel con potencial para ejecución de código con privilegios de núcleo; y CVE-2024-23222, una vulnerabilidad de tipo confusión en WebKit que podía permitir la ejecución arbitraria de código al procesar contenido web malicioso. En términos prácticos, estos fallos permiten a un atacante, si logra explotarlos, ejecutar código en el dispositivo o escalar privilegios, lo que los convierte en vectores muy serios de compromiso.
Todo esto está ligado a un conjunto de exploits conocido como “Coruna”, que investigadores de seguridad y equipos de respuesta han asociado a un kit que reúne múltiples cadenas de ataque. Los informes técnicos —que han descrito más de veinte exploits agrupados en varias cadenas— muestran que el kit estaba orientado a versiones de iOS desde la 13.0 hasta la 17.2.1. Grupos que monitorizan malware y exploits, como iVerify, han documentado el uso de Coruna en campañas que entregan un marco de ataque mayor (a veces referido como CryptoWaters), y los hallazgos han sido analizados públicamente por distintos laboratorios.
En paralelo han surgido afirmaciones periodísticas sobre el posible origen de algunas partes del código. Según esas informaciones, herramientas y exploits empleados por Coruna podrían haber sido desarrollados por actores vinculados al sector de la defensa y, posteriormente, filtrados o vendidos a intermediarios. Entre los nombres citados en la cobertura se ha mencionado a un exdirectivo de una empresa contratista que fue condenado por transacciones con vulnerabilidades; sin embargo, las atribuciones en este ámbito suelen ser complejas y es habitual que los investigadores pidan cautela antes de trazar conclusiones definitivas.
Otra consecuencia destacada del caso es la reutilización de vulnerabilidades: Coruna incorpora exploits que apuntan a fallos ya observados en campañas previas, como algunas que se agruparon bajo la etiqueta “Operation Triangulation” el año anterior. Expertos en seguridad han subrayado que la coincidencia en las vulnerabilidades explotadas no implica necesariamente que el código haya sido copiado. Un equipo con la suficiente pericia puede desarrollar exploits diferentes que apunten a la misma debilidad, y por eso la atribución exige evidencias técnicas y contextuales más amplias que la simple reutilización de fallos.
Frente a este panorama, el mensaje principal para usuarios y responsables de TI es sencillo: actualizar el software cuando sea posible y aplicar los parches que Apple ha publicado para las versiones soportadas. Incluso cuando un dispositivo no puede recibir la última iteración del sistema, las actualizaciones retrocompatibles que Apple ha liberado ofrecen una capa de defensa crítica frente a este tipo de amenazas. Además, conviene mantener hábitos de navegación prudentes, evitar abrir enlaces o archivos de orígenes dudosos y revisar las configuraciones de seguridad del navegador y del sistema.
La proliferación de kits como Coruna recuerda que la seguridad de los dispositivos móviles ya no es solo cuestión de parches: es un ecosistema donde actores con distintos incentivos compiten por exploits, donde los hallazgos técnicos pueden viajar entre mercados y donde la transparencia en la investigación y la rapidez en la mitigación marcan la diferencia entre un incidente controlado y una brecha masiva. Para quien quiera profundizar en los detalles técnicos de los fallos corregidos, las notas de Apple y las bases de datos públicas de vulnerabilidades son un buen punto de partida y están disponibles en las páginas de soporte y en el NVD enlazadas en este artículo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...