¡Ataque a iPhones especialmente para robar criptomonedas! El kit de ataque "Coruna" se propaga descontroladamente, versiones antiguas de iOS podrían convertirse en objetivos fáciles

Autor: Max, Ciudad Cripto

De herramientas de vigilancia a “máquinas de cosecha de activos” Según un informe profundo publicado por el Grupo de Inteligencia de Amenazas de Google (GTIG), el kit de vulnerabilidades para iOS llamado Coruna (también conocido como CryptoWaters) representa una amenaza grave para los usuarios de iPhone en todo el mundo. La trayectoria de desarrollo de esta herramienta es sumamente dramática: fue descubierta por primera vez en febrero de 2025, cuando fue proporcionada por una empresa privada de vigilancia a clientes gubernamentales, dirigida a monitorear con precisión a políticos y disidentes. Luego, en verano de 2025, un grupo de hackers vinculado al gobierno ruso, UNC6353, tomó control del kit y lo utilizó para actividades de espionaje geopolítico contra ciudadanos ucranianos.

Fuente de la imagen: Google ｜ Línea de tiempo del descubrimiento de Coruna

Con la expansión tecnológica, esta herramienta profesional, que costó millones de dólares en desarrollo, ha ingresado oficialmente al mercado del crimen cibernético. A finales de 2025 y principios de 2026, un grupo de hackers chino, UNC6691, adquirió la tecnología y cambió su enfoque hacia el saqueo de activos digitales. Esto simboliza la mercantilización de herramientas de espionaje avanzadas, que pasaron de recopilar inteligencia dirigida a objetivos específicos a una gran ola de robo de riqueza a poseedores de criptomonedas comunes. Los investigadores señalan que los hackers están dispuestos a invertir costos tecnológicos elevados, lo que demuestra que las ganancias potenciales de los activos cripto son lo suficientemente grandes como para impulsar la criminalidad financiera profesional.

Cadena de 23 vulnerabilidades: infiltración silenciosa oculta tras “charcos” El kit Coruna cuenta con un alto grado de automatización y sigilo, integrando 23 vulnerabilidades independientes que conforman 5 cadenas completas de ataque. Su alcance es amplio, afectando todos los iPhone y iPad con iOS desde la versión 13.0 hasta la 17.2.1. Los hackers emplean ataques de “charco de agua” (Watering Hole Attack), infiltrándose o creando sitios falsos de exchanges de criptomonedas y plataformas financieras para atraer a las víctimas. Estos sitios, como la plataforma falsa de WEEX, lucen y funcionan casi igual que los originales, incluso usando SEO y publicidad pagada para aumentar su visibilidad.

Fuente de la imagen: Google ｜ Plataforma falsa de WEEX

Cuando un usuario de iPhone visita estas páginas contaminadas, un script en segundo plano ejecuta inmediatamente la identificación del dispositivo. El sistema verifica silenciosamente la versión de iOS; si está dentro del rango de ataque, se activa automáticamente una vulnerabilidad de zero-click, permitiendo la infiltración sin que el usuario tenga que interactuar o hacer clic en enlaces. Algunas páginas falsas incluso sugieren al usuario navegar desde un dispositivo iOS, prometiendo una mejor experiencia, en realidad para focalizar objetivos vulnerables que no hayan actualizado su sistema.

Incluso las capturas en álbumes no están a salvo Una vez que Coruna obtiene acceso al dispositivo, el malware PlasmaLoader se activa para inventariar los activos digitales del usuario. Este programa tiene una capacidad de escaneo potente, buscando palabras clave específicas como “backup phrase”, “bank account” o “seed phrase”, y extrayendo datos clave de mensajes y notas. Además, cuenta con reconocimiento de imágenes para escanear automáticamente las capturas del álbum en busca de códigos QR que contengan frases de recuperación o claves privadas.
Además de la recopilación de datos estáticos, Coruna también ataca aplicaciones populares de monederos de criptomonedas como MetaMask y Uniswap. Los hackers intentan extraer información sensible para obtener control total sobre las billeteras. En múltiples casos conocidos, los fondos de las víctimas se transfirieron en poco tiempo tras acceder a sitios falsos. Dado que el ataque afecta los permisos más profundos del sistema, cualquier rastro digital de la clave privada en el teléfono no escapa a esta herramienta de espionaje.

Fuente de la imagen: Google ｜ Google lista todas las aplicaciones potencialmente vulnerables a malware

¿Estrategias de defensa y supervivencia? La actualización del sistema es clave para la seguridad Frente a amenazas sofisticadas de alto nivel, los usuarios de iPhone deben tomar medidas de protección claras. El informe de Google indica que Coruna no funciona en iOS 17.3 o versiones superiores. Aunque el sistema ya ha sido actualizado a versiones más recientes, algunos usuarios con dispositivos antiguos o con poco espacio de almacenamiento no han actualizado a tiempo, quedando expuestos a riesgos. Para modelos antiguos que no puedan actualizarse, activar el “Modo de bloqueo” (Lockdown Mode) proporcionado por Apple es una medida efectiva; si el malware detecta este modo, detendrá su funcionamiento para evitar ser rastreado.
Los expertos en seguridad recomiendan que los poseedores de criptomonedas sigan reglas básicas de supervivencia. La protección principal es usar monederos hardware (como Ledger o Trezor), manteniendo las claves privadas siempre offline y sin contacto con el entorno iOS. Además, se debe eliminar inmediatamente todas las capturas en álbumes que contengan frases de recuperación o claves privadas, y realizar copias de seguridad en medios físicos offline.
Aunque Coruna evita el modo de navegación privada para reducir la detección, esto solo es una medida temporal. En un contexto donde el valor de los activos digitales sigue creciendo, mantener el sistema actualizado y la conciencia de seguridad se ha convertido en una obligación básica para todos los inversores.