Google Threat Intelligence Group ha sacado a la luz un conjunto de herramientas de explotación para iPhone que, por su complejidad y alcance, merece atención inmediata: se le ha dado el nombre de Coruna (también identificado como CryptoWaters). Se trata de un kit de explotación modular y muy sofisticado que aglutina varias cadenas de ataque completas para distintas versiones de iOS y que, según el análisis de Google, ha estado circulando entre distintos actores a lo largo de 2025. Puedes leer el informe técnico de Google en su blog de inteligencia de amenazas aquí y la cobertura de prensa inicial en WIRED.
Lo que hace peligroso a Coruna no es solo la calidad de los exploits que incluye, sino la forma en que se ensamblan. Google describe un framework JavaScript que primero huella el dispositivo (fingerprinting) para identificar modelo y versión de iOS, y en función de esos datos carga el exploit WebKit adecuado. Después encadena un bypass de las mitigaciones de seguridad —como la evasión de la protección PAC (Pointer Authentication Codes)— y ejecuta el payload. Es una cadena completa: reconocimiento, ejecución remota de código y escalada de control en el dispositivo.
En el análisis se detectaron cinco cadenas de explotación completas y en total 23 exploits orientados a versiones de iOS que van desde la 13 hasta la 17.2.1. Entre las vulnerabilidades utilizadas aparecen fallos reportados en el NVD como CVE-2024-23222, CVE-2023-43000 y otras más antiguas que cubren un amplio rango de parches. Google también señala que algunos módulos reutilizan técnicas observadas en campañas previas, lo que sugiere la existencia de componentes “plug-and-play” dentro del kit.
La telemetría reconstruye una historia interesante sobre cómo este conjunto se ha movido entre manos. Según los investigadores, partes del exploit aparecieron por primera vez en manos de un cliente de una compañía de vigilancia comercial a principios de 2024, luego se observó su uso por un actor estatal y, finalmente, por un grupo con motivación económica desde China a finales de 2025. Ese tránsito ilustra la existencia de un mercado activo de exploits de día cero y cómo herramientas inicialmente diseñadas para vigilancia dirigida pueden terminar siendo empleadas en campañas masivas.
Los usos concretos en la calle han variado. En julio de 2025 se detectó el framework cargado como un iframe oculto desde el dominio “cdn.uacounter[.]com” en sitios comprometidos en Ucrania, dirigida solo a usuarios de iPhone de determinadas localizaciones; la actividad fue atribuida a un actor sospechoso llamado UNC6353. En diciembre de 2025 la misma tecnología reapareció en una red de sitios falsos de corte financiero en China, esta vez sin restricciones geográficas y asociada a un actor rastreado como UNC6691. El proveedor de seguridad móvil iVerify advierte que Coruna representa uno de los primeros casos en los que capacidades de spyware de calidad “de estado” pasan a un despliegue más amplio y comercializado; su informe está disponible aquí.
Cuando el exploit logra la entrada, los operadores no se quedan en el dispositivo comprometido: se ha observado la entrega de un cargador (stager) llamado PlasmaLoader o PLASMAGRID, diseñado para decodificar códigos QR contenidos en imágenes y descargar módulos adicionales desde servidores externos. Esos módulos pueden estar orientados a exfiltrar información de aplicaciones de criptoactivos como Base, Bitget Wallet, Exodus o MetaMask, lo que convierte al vector en un riesgo directo para usuarios con carteras en el móvil.
Los operadores han añadido mecanismos de resiliencia: el implant contiene servidores de mando y control codificados y un algoritmo generador de dominios (DGA) que, según Google, utiliza la cadena “lazarus” como semilla para generar dominios predecibles con TLD .xyz; además emplean resoluciones con el DNS público de Google para verificar si esos dominios están activos. En la infraestructura de los atacantes también se llegó a encontrar una versión de depuración del kit, lo que ayudó a los investigadores a mapear cinco cadenas de explotación completas y las 23 vulnerabilidades aprovechadas.
Un detalle técnico relevante es que Coruna evita ejecutarse si el dispositivo está en Modo de bloqueo (Lockdown Mode) o si el usuario navega en modo privado. Apple ofrece información sobre ese modo, que limita radicalmente la superficie de ataque para amenazas dirigidas: cómo funciona el Modo de bloqueo. Además, Apple ha parcheado muchas de las vulnerabilidades explotadas en actualizaciones recientes; consultar la página oficial de actualizaciones de seguridad de Apple es una buena práctica: Apple Security Updates.
¿Qué significa esto para un usuario medio? Primero, que no todos los iPhone eran vulnerables: Coruna explotaba fallos que afectan a versiones concretas de iOS y, según Google, no es eficaz contra las versiones más recientes que ya incluyen los parches necesarios. Sin embargo, muchos dispositivos no se mantienen al día y siguen siendo objetivo fácil. Segundo, la forma de entrega: sitios legítimos comprometidos o páginas falsas que piden expresamente que las visites “desde tu iPhone para una mejor experiencia” son señuelos claros; si una web insiste en que la abras en un móvil, hay que desconfiar. Tercero, si usas carteras de criptomonedas en el dispositivo debes extremar las precauciones con enlaces, QR y titulares que ofrezcan descargas o mejoras de experiencia.
La recomendación práctica y urgente es evidente: actualiza tu iPhone a la última versión de iOS que Apple publique, y si quieres una capa extra de protección activa el Modo de bloqueo. Mantener las actualizaciones automáticas, evitar abrir links sospechosos desde SMS o redes sociales y no usar redes Wi‑Fi abiertas para transacciones sensibles reduce significativamente el riesgo. Para los administradores y profesionales de seguridad, el hallazgo subraya la necesidad de monitorizar tráfico inusual, revisar iframes y fuentes de terceros en páginas web y considerar controles adicionales de detección de explotación de WebKit.
Más allá de la guía técnica, Coruna representa un cambio de época: por primera vez, según diversos analistas, se documenta un uso a escala de un toolkit de explotación para iOS que originalmente tenía apariencia “spyware-grade”. Ese tránsito desde herramientas comerciales hacia actores estatales y, finalmente, criminales con fines de lucro muestra cómo la disponibilidad de vulnerabilidades valiosas acelera la contaminación del ecosistema. Si quieres profundizar en los detalles técnicos y la cronología, los informes de Google y las coberturas especializadas son fuentes recomendables: informe de GTIG, la pieza de WIRED y el análisis de iVerify.
Al final, la lección vuelve a ser la de siempre pero con más urgencia: el software desactualizado es una puerta abierta. Mantén tu dispositivo actualizado, activa las protecciones adicionales como el Modo de bloqueo y desconfía de sitios o mensajes que pidan acciones concretas en tu iPhone, sobre todo si implican abrir enlaces, descargar contenido o escanear códigos QR. Este caso —Coruna— es un recordatorio de que las herramientas de vigilancia y explotación pueden terminar convertidas en armas de amplio alcance.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
Extensiones maliciosas de VS Code: el ataque que expuso 3.800 repositorios internos
GitHub ha confirmado que un dispositivo de un empleado comprometido mediante una extensión maliciosa de Visual Studio Code permitió la exfiltración de cientos o miles de reposit...