Hace tiempo que los exploit kits dejaron de ser meras herramientas de pruebas para convertirse en plataformas sofisticadas de ataque. Un ejemplo reciente es el llamado framework Coruna, que según el análisis de investigadores de Kaspersky representa una continuidad y modernización del conjunto de herramientas empleado en la campaña de espionaje conocida como Operation Triangulation. Esa campaña, descubierta en 2023, ganó notoriedad por el uso de exploits «zero-click» en iMessage que permitían comprometer iPhone sin interacción del usuario; Coruna toma esa base y la lleva a la siguiente generación de hardware y versiones de iOS. Más detalles técnicos y evidencias del vínculo pueden consultarse en el informe de Kaspersky publicado por su equipo GReAT.
Desde el punto de vista técnico, Coruna no es un exploit aislado, sino un kit modular: incluye cinco cadenas completas de explotación para iOS que aprovechan, en conjunto, 23 vulnerabilidades conocidas y hasta ahora privadas. Entre esas fallas se encuentran las identificadas como CVE-2023-32434 y CVE-2023-38606, dos de las cuales ya formaron parte del repertorio de Triangulation. El trabajo de análisis de Kaspersky mostró que parte del código explotador empleado contra esas vulnerabilidades es una versión revisada y mantenida del exploit original, lo que sugiere una evolución sostenida del mismo proyecto desde años atrás.
Coruna ha sido ampliado para reconocer y atacar arquitecturas modernas: los binarios incluyen comprobaciones explícitas para chips como el A17 y la familia M3 (M3, M3 Pro y M3 Max), y soportan ejecuciones en ARM64 y ARM64E. En cuanto a sistemas operativos, las comprobaciones y condicionantes en el paquete permiten que el kit seleccione exploits y cargadores adecuados para dispositivos con versiones de iOS que abarcan hasta iOS 17.2, e incluso para builds beta anteriores. Esa combinación de soporte de hardware y software convierte a Coruna en una amenaza capaz de afectar desde equipos relativamente antiguos hasta los modelos más recientes de Apple.
El proceso de infección descrito por los investigadores comienza en el navegador Safari a través de un pequeño «stager» que recopila información del dispositivo —lo que en seguridad se llama fingerprinting— para determinar qué rutas de ejecución (RCE) y técnicas de evasión son aplicables. A partir de esa decisión, el atacante recupera metadatos cifrados que guían las siguientes etapas. El paquete malicioso descarga componentes adicionales protegidos criptográficamente, que luego son descifrados (los análisis hablan del uso de ChaCha20), descomprimidos (LZMA) y desempaquetados mediante contenedores personalizados hasta obtener los elementos ejecutables finales: el exploit del kernel correspondiente, un cargador Mach-O y el lanzador que despliega el implante.
Ese enfoque modular permite que el kit elija dinámicamente el exploit exacto según la arquitectura y la versión de iOS del objetivo, lo que aumenta la tasa de éxito y la persistencia del ataque. Además, el análisis de Kaspersky subraya que el código muestra continuidad con Triangulation más allá de la mera reutilización de fallos: hay trazas de desarrollo y pruebas continuas que apuntan a un equipo o actor que ha mantenido y actualizado el framework con el tiempo.
Lo inquietante es la diversificación de los usos: lo que comenzó como una herramienta de espionaje muy dirigida ahora aparece también en campañas con motivación económica, por ejemplo para robar criptomonedas a través de páginas de intercambio fraudulentas que imitan plataformas legítimas. Ese desplazamiento de objetivo ilustra una tendencia preocupante: herramientas inicialmente reservadas a actores con recursos ahora son aprovechadas, o al menos adaptadas, por grupos con fines puramente criminales. En paralelo, otras plataformas como el exploit kit conocido como DarkSword han sido divulgadas recientemente y están en circulación entre múltiples actores, lo que eleva aún más el riesgo para dispositivos que no estén actualizados.
Ante este panorama la primera línea de defensa es clara: mantener los dispositivos con las actualizaciones de seguridad aplicadas. Apple ha publicado un boletín con parches que corrigen las vulnerabilidades recientemente descritas; es recomendable que todos los usuarios y administradores instalen esas actualizaciones cuanto antes. Puede consultarse la nota oficial de Apple en su página de soporte sobre el contenido de seguridad.
Además de actualizar, conviene adoptar prácticas sencillas pero efectivas: no abrir enlaces o páginas sospechosas, desconfiar de sitios que imitan servicios financieros, activar las actualizaciones automáticas y utilizar mecanismos adicionales de protección para activos sensibles, como la autenticación de múltiples factores y, en el caso de criptomonedas, carteras frías (hardware wallets). Las empresas y entes públicos deberían seguir las guías y avisos de seguridad de sus proveedores y de organismos de ciberseguridad para evaluar exposición y mitigar riesgos.
La historia de Coruna recuerda un patrón recurrente en ciberseguridad: exploits y plataformas desarrolladas para operaciones dirigidas pueden, con el tiempo, convertirse en herramientas mucho más accesibles y peligrosas cuando son actualizadas, redistribuidas o replicadas. La conclusión es tanto técnica como práctica: la prevención y la higiene digital siguen siendo la barrera más efectiva contra amenazas que evolucionan tan rápido como los chips y sistemas que pretenden vulnerar.
Para quien quiera profundizar en el tema, además del informe de Kaspersky, hay cobertura y análisis en medios especializados que amplían el contexto técnico y las implicaciones para usuarios y organizaciones; un punto de partida útil es la crónica periodística sobre el uso reciente de Coruna en hurtos de criptoactivos en BleepingComputer, y para mantenerse al día con advertencias y directrices de autoridades, la web de la CISA ofrece recursos y avisos relevantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...