La irrupción de Coruna, una herramienta avanzada para hackear iPhone, ha encendido las alarmas en organismos públicos, empresas y usuarios particulares. Lo que parecía un arsenal digital reservado a operaciones de alto nivel ha terminado utilizándose en campañas masivas de espionaje y robo de datos, con un impacto que ya trasciende las fronteras de cualquier país concreto.
Detrás de Coruna no hay un simple fallo aislado, sino un kit de explotación completo y modular capaz de encadenar vulnerabilidades de iOS para tomar el control del dispositivo con solo visitar una página web comprometida. Esta evolución, desde el uso gubernamental discreto hasta la ciberdelincuencia organizada, vuelve a abrir el debate sobre qué ocurre cuando las llamadas “ciberarmas” se filtran y llegan al mercado negro.
Qué es Coruna y a qué iPhones afecta
Según la información publicada por el Grupo de Inteligencia de Amenazas de Google (GTIG) y la firma de seguridad móvil iVerify, Coruna es un kit de explotación diseñado específicamente para atacar iPhone que ejecutan versiones comprendidas entre iOS 13.0 e iOS 17.2.1. No se limita a aprovechar un único bug, sino que incorpora un arsenal de componentes que se combinan entre sí.
Los investigadores describen cinco cadenas de ataque completas y un total de 23 exploits distintos integrados en la herramienta. Buena parte de estas vulnerabilidades afectan a WebKit, el motor que utilizan Safari y otros navegadores en iOS, lo que permite que el ataque se desencadene con solo cargar una web maliciosa, sin descargas aparentes ni clics adicionales.
Una de las capacidades que más inquietan a los expertos es el uso de ataques de “pozo de agua”. En lugar de enviar correos de phishing evidentes, los operadores de Coruna comprometen páginas que las víctimas visitan con frecuencia, de modo que la infección se produce de forma silenciosa cuando el usuario abre un sitio aparentemente legítimo.
Cuando la cadena de vulnerabilidades se ejecuta con éxito, el kit puede instalar spyware, desplegar malware y espiar o robar información sensible del iPhone. Entre los datos potencialmente comprometidos se incluyen mensajes, localización, historiales de navegación, credenciales de acceso, archivos personales e incluso claves y frases semilla asociadas a banca digital y criptomonedas.
La parte relativamente positiva es que las versiones más recientes de iOS ya no son vulnerables a este conjunto concreto de exploits, gracias a los parches que Apple ha ido liberando. El problema, especialmente visible en España y el resto de Europa, es el elevado número de dispositivos que continúan anclados en versiones antiguas, a menudo por desidia, incompatibilidades de apps o políticas internas de organizaciones.
Del espionaje selectivo a las campañas masivas de ciberdelincuencia
El recorrido de Coruna resume bien cómo una herramienta de espionaje de primer nivel puede acabar fuera de control. Google sitúa los primeros indicios en febrero de 2025, cuando identificó el kit en un intento de hackeo atribuido a un proveedor de vigilancia comercial que actuaba para un cliente gubernamental. En ese momento se trataba de una operación muy selectiva contra objetivos concretos.
Con el paso de los meses, los analistas de GTIG detectaron el uso de versiones más completas de Coruna en campañas dirigidas contra usuarios ucranianos, atribuidas al grupo ruso UNC6353. En estas operaciones, el código de explotación se escondía en sitios web ucranianos de uso cotidiano, un escenario especialmente sensible en el contexto del conflicto en la región.
Posteriormente, el mismo kit reapareció vinculado a UNC6691, un actor con motivación económica que opera desde China. En esta fase, el enfoque cambió: de la vigilancia y el espionaje político se pasó al robo directo de activos digitales y datos financieros, utilizando webs relacionadas con criptomonedas, plataformas de apuestas y servicios online en idioma chino.
En estas campañas de corte económico, los operadores de Coruna añadieron módulos específicos para rastrear y extraer frases semilla, credenciales y otra información de wallets y cuentas de intercambio de criptomonedas. Según estimaciones de iVerify, al menos 42.000 iPhone podrían haber sido infectados en uno de estos episodios, lo que muestra el salto desde operaciones discretas a ataques mucho más amplios.
Este paso de manos —de clientes gubernamentales a grupos rusos y redes criminales chinas— refleja un fenómeno cada vez más frecuente: los exploits de máximo nivel dejan de ser exclusivos de las agencias de inteligencia cuando se filtran, se revenden o se reutilizan. A partir de ahí, pueden terminar afectando a usuarios corrientes en cualquier país, incluyendo estados miembros de la Unión Europea.
Cómo funciona técnicamente Coruna en los iPhone
En el plano técnico, los informes de Google Cloud e iVerify describen Coruna como un sistema modular y altamente adaptable. No es un único programa monolítico, sino un conjunto de bloques que los atacantes pueden combinar según el objetivo: acceso inicial, espionaje prolongado, robo de fondos, obtención de documentación sensible o preparación de ataques posteriores.
El ataque suele comenzar cuando la víctima accede a una web que integra los scripts de explotación. El primer módulo aprovecha una vulnerabilidad en WebKit u otro componente de iOS para ejecutar código en el dispositivo. A partir de ahí, la herramienta encadena sucesivos exploits que elevan progresivamente los privilegios hasta lograr un control profundo sobre el sistema.
Una vez consolidado ese acceso, los operadores pueden instalar spyware, registrar pulsaciones de teclado, copiar documentos, interceptar comunicaciones cifradas o monitorizar aplicaciones concretas. En las variantes orientadas al beneficio económico se ha comprobado un interés especial por apps de banca, trading, exchanges de criptomonedas y autenticación de dos factores, muy extendidas también entre usuarios españoles y europeos.
Los análisis técnicos señalan además que Coruna incluye verificaciones específicas para detectar si el iPhone tiene activado el Modo de Bloqueo o Modo de Aislamiento de Apple. Esta función, pensada para usuarios de alto riesgo, restringe muchas de las vías de ataque habituales. Si el kit identifica que este modo está activo, puede optar por no completar la infección para reducir la probabilidad de ser descubierto y analizado en profundidad.
Pese a la sofisticación del conjunto, los investigadores subrayan que su margen de actuación se ha ido reduciendo conforme Apple ha ido corrigiendo las vulnerabilidades afectadas. Las cadenas de ataque documentadas funcionan sobre todo en dispositivos que aún ejecutan versiones desde iOS 13 hasta iOS 17.2.1. En las ediciones más recientes, los agujeros explotados por Coruna están parcheados, lo que obliga a los atacantes a buscar nuevas debilidades o a reciclar parte de la infraestructura con otros fallos.
Posibles vínculos con la NSA y operaciones previas en iOS
Uno de los aspectos más delicados del caso tiene que ver con el posible origen de Coruna y sus similitudes con marcos de explotación asociados a la inteligencia estadounidense. Google ha sido prudente a la hora de señalar a un país concreto, pero iVerify ha dado algunas pistas basadas en el análisis del código.
Tras aplicar ingeniería inversa a una variante del kit empleada en campañas de robo de criptomonedas, la firma detectó paralelismos técnicos con frameworks previamente relacionados con la Agencia de Seguridad Nacional de Estados Unidos (NSA). Estas semejanzas se observan tanto en la estructura de los módulos como en la forma de encadenar vulnerabilidades y en ciertos patrones de desarrollo.
El cofundador de iVerify, Rocky Cole, ha apuntado que el nivel de complejidad y el coste estimado de desarrollo sitúan a Coruna muy por encima de lo que suele manejar un grupo criminal convencional. Además, los comentarios internos y la documentación analizada sugieren que el código habría sido escrito por programadores de habla inglesa con un perfil profesional similar al de equipos que trabajan en herramientas de ciberespionaje estatales.
Los investigadores también han encontrado similitudes con componentes utilizados en la llamada Operación Triangulación, una campaña de ataque descubierta en 2023 que afectó a dispositivos iOS de empleados de la compañía de ciberseguridad Kaspersky. En aquel momento, las autoridades rusas acusaron a la NSA de estar detrás de esos ataques, aunque Estados Unidos no ofreció confirmación pública.
Aun así, los expertos insisten en que la atribución en ciberseguridad es compleja y raramente concluyente. Sin acceso a documentación oficial o filtraciones directas, las conexiones basadas en análisis de código y modus operandi deben tomarse con cautela. Lo que sí parece evidente es que el desarrollo de un arsenal como Coruna habría requerido años de trabajo y una inversión de millones de dólares, algo que encaja mejor con un actor estatal o un gran contratista de defensa que con una banda improvisada.
El riesgo de que las «ciberarmas» se filtren al mercado negro
Más allá de quién estuviera detrás del diseño original, el caso Coruna reaviva un temor recurrente: qué pasa cuando herramientas de intrusión pensadas para espionaje estatal se escapan de los circuitos controlados. Cuando eso ocurre, dejan de ser un problema restringido a enfrentamientos entre estados y pasan a afectar directamente a ciudadanos y empresas de todo el mundo.
Un antecedente muy citado es EternalBlue, el exploit para Windows atribuido a la NSA que fue robado y filtrado en 2017. Aquella herramienta terminó estando detrás de ataques de ransomware como WannaCry y NotPetya, que provocaron interrupciones en hospitales, compañías eléctricas, fábricas y administraciones públicas, también en varios países europeos.
Algunos especialistas consideran que Coruna podría marcar un punto de inflexión similar, pero en el ecosistema móvil de Apple. La diferencia es que, en este caso, el objetivo principal son los iPhone, que se han convertido en el centro de la vida digital de millones de personas: desde las comunicaciones privadas hasta la banca, pasando por el acceso a servicios públicos y empresariales.
Los informes de Google e iVerify apuntan a la existencia de un mercado activo de exploits «de segunda mano», donde herramientas inicialmente reservadas a actores muy sofisticados pasan por manos de intermediarios, se revenden o se filtran. Una vez que un kit como Coruna entra en ese circuito, es prácticamente imposible recuperar el control sobre quién lo usa, cómo lo adapta y a quién ataca.
Esta dinámica alimenta un debate de calado: hasta qué punto es responsable acumular vulnerabilidades críticas para fines ofensivos en lugar de comunicarlas a los fabricantes para que las corrijan. Casos como el de Coruna muestran que, cuando algo sale mal y esas herramientas se filtran, el coste lo acaban asumiendo usuarios y organizaciones que nada tenían que ver con las operaciones originales.
Un mercado opaco de exploits y su impacto en España y Europa
Detrás de episodios como éste suele haber un mercado internacional poco regulado de brokers de vulnerabilidades. Estos intermediarios compran exploits y herramientas de intrusión por cantidades muy elevadas y los revenden a gobiernos, empresas de vigilancia o incluso grupos criminales con la capacidad de convertirlos en campañas masivas.
Uno de los casos recientes que se toman como referencia es el de un directivo de la empresa estadounidense Trenchant, condenado a varios años de prisión por vender herramientas de hackeo a un intermediario ruso especializado en exploits de día 0. Situaciones de este tipo evidencian lo difusa que puede ser la frontera entre el desarrollo legítimo de capacidades de ciberseguridad, las operaciones de inteligencia y el mercado clandestino.
En el contexto europeo, y particularmente en España, estas dinámicas tienen traducción directa en el día a día. El iPhone se utiliza de forma habitual para operaciones bancarias, pagos móviles, firma electrónica, acceso a servicios públicos, autenticación en dos pasos y gestión de documentación empresarial. Si una herramienta como Coruna llega a manos de grupos con motivación económica, el riesgo no se limita a la privacidad: se abre la puerta a movimientos de dinero no autorizados, suplantaciones de identidad y filtraciones de datos críticos.
Los expertos advierten de que, incluso cuando las vulnerabilidades concretas explotadas por Coruna están parcheadas, los conocimientos y frameworks desarrollados alrededor del kit pueden reutilizarse para adaptarse a nuevas fallas que aparezcan en versiones posteriores de iOS. En la práctica, el peligro no desaparece del todo, sino que evoluciona junto con el sistema operativo.
En un entorno en el que muchas pymes y administraciones europeas apoyan procesos clave en dispositivos móviles, la infección de un solo iPhone desactualizado puede servir de puerta de entrada a redes internas, sistemas de gestión, repositorios de documentos o aplicaciones corporativas. Por eso, cada vez más estrategias de ciberseguridad incluyen al móvil como un eslabón crítico y no como un simple dispositivo accesorio.
Cómo proteger tu iPhone frente a Coruna y amenazas similares
La parte relativamente tranquilizadora del caso es que Coruna ya no es eficaz contra las versiones más recientes de iOS, gracias a las correcciones que Apple ha ido introduciendo. Aun así, mientras sigan existiendo dispositivos con iOS 13, 14, 15, 16 o primeras ediciones de iOS 17 sin actualizar, este tipo de kits continuarán encontrando un campo de juego rentable.
Para usuarios de España y del resto de Europa, la primera medida es evidente: mantener el iPhone siempre actualizado a la última versión de iOS disponible. Muchas campañas de explotación a gran escala funcionan porque una parte importante del parque de móviles permanece sin parchear durante meses o años, bien por desconocimiento, bien por dejadez.
En aquellos casos en los que no sea posible instalar la versión más reciente —por dependencia de aplicaciones internas, limitaciones de modelos más antiguos o restricciones corporativas—, conviene activar el Modo de Bloqueo o Modo de Aislamiento de Apple. Esta función reduce drásticamente la superficie de ataque deshabilitando comportamientos que suelen aprovechar marcos avanzados como Coruna.
Además de las actualizaciones, sigue siendo clave extremar la cautela al visitar páginas web poco fiables o al abrir enlaces de origen dudoso, especialmente si el teléfono se usa para banca online, inversión o gestión de criptomonedas. Aunque este kit no requiera grandes interacciones por parte del usuario, reducir la exposición a sitios de riesgo baja las probabilidades de caer en una campaña de “pozo de agua”.
En el ámbito corporativo y en la Administración, los especialistas recomiendan implantar políticas de gestión centralizada de dispositivos iOS: inventarios actualizados, despliegue coordinado de parches, bloqueo de versiones antiguas y monitorización de comportamientos sospechosos. Un único iPhone desactualizado y sin supervisión puede convertirse en el eslabón débil que comprometa una red entera.
El caso de Coruna, la herramienta de hackeo para iPhone, muestra hasta qué punto un kit de explotación extremadamente avanzado puede viajar desde entornos de inteligencia hasta redes criminales, pasando por intermediarios y mercados opacos de exploits. Aunque Apple haya cerrado la mayoría de las brechas usadas por este arsenal en las versiones recientes de iOS, la existencia de miles de dispositivos desactualizados en Europa mantiene la ventana de riesgo abierta y recuerda que la seguridad del móvil depende tanto de los parches del fabricante como de las decisiones cotidianas de cada usuario y de las políticas de protección que adopten empresas y organismos públicos.
