El kit de hackeo que creó un gobierno ahora roba criptomonedas

En este momento, algún sitio web que podrías visitar mañana está sondeando tu iPhone en silencio: verificando tu versión de iOS, confirmando que el Modo de Aislamiento está desactivado y preparando uno de 23 exploits diseñados para abrir tu dispositivo de par en par. Sin tocar nada. Sin hacer clic en ningún enlace sospechoso. Solo una página web.

El arsenal que nunca debió salir del edificio

Investigadores de seguridad del Grupo de Inteligencia de Amenazas de Google y la firma de seguridad móvil iVerify confirmaron de forma independiente la existencia de Coruna: un kit de herramientas de hackeo de grado militar para iPhone que contiene cinco cadenas completas de exploits y 23 vulnerabilidades distintas. El kit apunta a todos los iPhone con iOS 13 hasta 17.2.1, es decir, modelos lanzados entre septiembre de 2019 y diciembre de 2023.

El código está escrito en inglés nativo con documentación extensa, incluyendo comentarios internos que parecen un manual de desarrollador. La ingeniería inversa de iVerify concluyó que el kit "parece haber sido construido sobre las mismas bases que herramientas de hackeo conocidas del gobierno estadounidense." Comparte módulos con la Operación Triangulation de 2023, la campaña que Rusia atribuyó a la NSA después de que fuera usada contra investigadores de Kaspersky.

Construir algo así cuesta millones de dólares. Nunca fue diseñado para circular libremente.

De espías a ladrones: cómo las armas gubernamentales llegaron al mercado negro

Google rastreó la migración de Coruna a través de tres fases distintas. En febrero de 2025 apareció en manos del cliente de una empresa de vigilancia, una operación estándar de inteligencia gubernamental. Para julio de 2025 había surgido en ataques "watering hole" (sitios web legítimos comprometidos para infectar visitantes) en páginas ucranianas, incrustado como iFrames ocultos por UNC6353, un grupo presuntamente vinculado al espionaje ruso. El código del exploit se servía de forma selectiva: solo los iPhones de geolocalizaciones específicas recibían la carga maliciosa.

Entonces algo cambió. Para diciembre de 2025, Coruna apareció en sitios falsos de criptomonedas y apuestas en línea orientados al mercado chino. La carga útil había sido reescrita por completo. En lugar de implantes de vigilancia, el software ahora buscaba en los teléfonos de las víctimas aplicaciones de billeteras cripto como Metamask y BitKeep, rastreaba palabras clave como "frase de respaldo" y "cuenta bancaria", y extraía semillas de recuperación y credenciales de exchanges.

El resultado: 42,000 iPhones comprometidos, una cifra que iVerify calificó como "masiva" para iOS. Es el primer caso documentado de un grupo criminal usando herramientas de explotación de nivel estatal para robo financiero masivo en dispositivos móviles.

La economía de exploits de segunda mano que nadie menciona

¿Cómo llegó un kit construido para un contratista del gobierno estadounidense a manos de espías rusos y ladrones de criptomonedas chinos? El informe de Google es directo: la respuesta sigue sin estar clara, pero el patrón "sugiere un mercado activo de exploits zero-day de segunda mano."

No es un caso aislado. El último informe de amenazas de Google encontró 90 vulnerabilidades zero-day explotadas en 2025, frente a 78 el año anterior. Por primera vez, los proveedores comerciales de vigilancia fueron responsables de más explotación atribuida de zero-days que los grupos tradicionales patrocinados por estados, explotando directamente 15 vulnerabilidades. La cadena de suministro de armas digitales se está globalizando, y los compradores ya no son solo gobiernos.

Los CVE específicos de Coruna cuentan la historia: CVE-2024-23222, una falla de WebKit parcheada a principios de 2024; CVE-2022-48503, agregada al catálogo de CISA de vulnerabilidades explotadas en octubre de 2025; y CVE-2023-38606, uno de los exploits de la Operación Triangulation de 2023. Vulnerabilidades viejas que siguen siendo letales en dispositivos sin actualizar.

Qué significa esto para tu iPhone ahora mismo

Coruna evita específicamente dos cosas: dispositivos con la última versión de iOS y dispositivos con el Modo de Aislamiento activado. El framework oculto de JavaScript verifica ambas condiciones antes de desplegar cualquier exploit. Si alguna se cumple, aborta en silencio.

Tu defensa es sencilla pero urgente. Actualiza tu iPhone a la última versión de iOS de inmediato. Cada dispositivo que aún ejecute iOS 17.2.1 o anterior es un blanco potencial. Activa el Modo de Aislamiento si manejas datos financieros sensibles o viajas a regiones de alto riesgo. Y reconoce que la vieja suposición de que "los iPhones no se hackean" murió en el momento en que las propias armas de un gobierno salieron a la venta.

Los 42,000 dispositivos ya comprometidos fueron vulnerados al visitar una sola página web. La siguiente oleada de ataques con estas herramientas no es cuestión de si sucederá, sino de cuál será el sitio web.